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作为 计算 机 及 其 相关 专业 的 数理 逻辑 方面 的 教材 ， 本 书 自 出 版 以 来 受到 了 广泛 的 好 评 ， 世 界 许多 
著名 大 学 (比如 美国 普林斯顿 大 学 、 卡 内 基 一 梅 隆 大 学 、 英 国 剑桥 大 学 、 德 国 汉堡 大 学 、 加 拿 大 多 伦 多 
大 学 、 和 荷兰 Vrije 大 学 、 印 度 理工 学 院 ) 都 采用 本 书 作为 教材 。 

全 书 涵盖 了 命题 逻辑 、 谓 词 罗 辑 、 模 态 逻 辑 与 代理 、 二 叉 判 定 图 、 模 型 检测 和 程序 验证 等 内 容 。 主 
要 特色 就 是 紧 紧 围绕 软 硬 件 规约 和 验证 这 一 主题 ， 反 映 计算 机 科学 中 数理 逻辑 的 新 发 展 和 实际 需要 。 第 2 
版 新 增 了 可 满足 性 (SAT) 算法 、 紧 致 性 理论 和 L6wenheim-Skolem 定 理 ， 并 介绍 了 Alloy 语 言 和 NuSMV 
工具 。 

数理 逻辑 是 计算 机 科学 的 基础 之 一 ， 在 模型 与 系统 的 规范 与 验证 等 方面 有 着 广泛 的 应 用 。 随 着 当 
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书 适 合作 为 高 等 院 校 计算 机 及 相关 专业 的 数理 逻辑 /形式 化 方法 课程 的 教材 ， 也 可 供 相关 研究 人 员 和 专 
业 人 士 参 考 。 





象 、 程 序 分 析 和 模型 检测 中 有 序 结构 的 应 用 等 。 
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本 书 对 计算 机 科学 方面 的 数理 逻辑 进行 了 综合 介绍 ， 涵 盖 命 题 逻辑 、 谓 词 逻 辑 、 模 态 逻 
辑 与 代理 、 二 叉 判 定 图 、 模 型 检测 和 程序 验证 等 内 容 。 本 书 主要 讨论 有 关 软 硬件 规范 和 验证 
这 一 主题 , 反映 了 计算 机 科学 中 数理 逻辑 的 新 发 展 和 实际 需要 。 第 2 版 新 增 了 可 满足 性 算法 、 
Léwenheim-Skolem 定理 等 ， 并 介绍 了 Alloy 语言 和 NuSMV 工具 等 内 容 。 

本 书 适宜 作为 高 等 院 校 计算 机 及 相关 专业 的 数理 逻辑 /形式 化 方法 课程 的 教材 ， 也 可 供 相 
关 研 究 人 员 和 专业 人 士 参考 。 


Michael Huth and Mark Ryan; Logic in Computer Science; Modelling and Reasoning about 
Systems, Second Edition( ISBN 0-521-54310-X). 
Originally published by Cambridge University. Press in 2004. 


This Chinese edition is “published with the permission of the Syndicate of the Press of the = = 


University of Cambridge, Cambridge, England. 

Copyright © 2004 by Cambridge University Press. 

This edition is licensed for distribution and sale in the People’s Republic of China only, excluding 
Hong Kong, Taiwan and Macao and may not be distributed and sold elsewhere. 
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授权 的 本 书 出 口 将 被 视 为 违反 版 权 法 的 行为 。 


MRA, PLB. 
本 书法 律 顾问 “北京 市 展 达 律师 事务 所 


本 书 版 权 登 记号 : MF: 01-2005-2766 . 


图 书 在 版 编目 (CPP) 数 据 \ 

面向 计算 机 科学 的 数理 逻辑 : 系统 建 模 与 推理 ( 原 书 第 2 版 )/( 德 ) 哈 斯 ，( 英 ) 瑞安 著 ; 
WE. ARE. 一 北京 : 机 械 工业 出 版 社 ，2007.7 

(计算 机 科学 丛书 ) 

书 名 原文 Logic in Computer Science; Modelling and Reasoning about Systems, Second Edition 

ISBN 978-7-111-21397-0 

I. me I. Om Omie @#- HK. 数理 逻辑 一 高 等 学 校 - 教 材 W.0141 

中 国 版 本 图 书馆 CIP 数据 核 字 (2007 ) 第 086385 号 


”机 械 工 业 出 版 社 (北京 市 西城 区 百 万 庄 大 街 22 号 ”邮政 编码 ”100037) 
责任 编辑 : E E 
KARSA AEI - ,新华 书店 北京 发 行 所 发 行 
2007 年 7 月 第 1 版 第 1 次 印刷 
184mm x 260mm - 18.25 印张 
定价 ;39. 00 元 


凡 购 本 书 ， 如 有 倒 页 、 脱 页 、 缺 页 ， 由 本 社 发 行 部 调换 
本 社 购书 热线 : (010)68326294 





出 版 者 的 话 


文艺 复兴 以 降 ， 源 远 流 长 的 科学 精神 和 逐步 形成 的 学 术 规范 ， 使 西方 国家 在 自然 科学 的 
各 个 领域 取得 了 垄断 性 的 优势 ; 也 正 是 这 样 的 传统 ， 使 美国 在 信息 技术 发 展 的 六 十 多 年 间 名 
家 辈出 、 独 领 风 又 。 在 商业 化 的 进程 中 ， 美 国 的 产业 界 与 教育 界 越 来 越 紧 密 地 结合 ， 计 算 机 
学 科 中 的 许多 泰山 北斗 同时 身 处 科研 和 教学 的 最 前 线 ， 由 此 而 产生 的 经 典 科学 著作 ， 不 仅 璧 
划 了 研究 的 范畴 ， 还 揭 更 了 学 术 的 源 变 ， 既 遵循 学 术 规 范 ， 又 自 有 学 者 个 性 ， 其 价值 并 不 会 
因 年 月 的 流逝 而 减退 。 

近年 ， 在 全 球 信息 化 大 潮 的 推动 下 ， 我 国 的 计算 机 产业 发 展 迅猛 ， 对 专业 人 才 的 需求 日 
益 迫 切 。 这 对 计算 机 教育 界 和 出 版 界 都 既是 机 遇 ， 也 是 挑战 ; 而 专业 教材 的 建设 在 教育 战略 
上 显得 举足轻重 。 在 我 国信 息 技术 发 展 时 间 较 短 、 从 业 人 员 较 少 的 现状 下 ， 美 国 等 发 达 国 家 
在 其 计算 机 科学 发 展 的 几 十 年 间 积 淀 的 经 典 教材 仍 有 许多 值得 借鉴 之 处 。 因 此 ， 引 进 一 批 国 
外 优秀 计算 机 教材 将 对 我 国 计 算 机 教育 事业 的 发 展 起 积极 的 推动 作用 ， 也 是 与 世界 接轨 、 建 
设 真正 的 世界 一 流 大 学 的 必由之路 。 

机 械 工 业 出 版 社 华章 图 文 信息 有 限 公司 较 早 意识 到 “出 版 要 为 教育 服务 ”。 自 1998 年 开始 ， 
华章 公司 就 将 工作 重点 放 在 了 六 选 、 移 译 国 外 优秀 教材 上 。 经 过 几 年 的 不 懈 努 力 ， 我 们 与 
Prentice Hall，Addison-Wesley，McGraw-Hill，Morgan Kaufmann 等 世界 著名 出 版 公司 建立 了 
良好 的 合作 关系 ， 从 它们 现 有 的 数 百 种 教材 中 王选 出 Tanenbaum，Stroustrup，Kernighan,， 
Jim Gray 等 大 师 名 家 的 一 批 经 典 作品 ， 以 “计算 机 科学 丛书 ”为 总 称 出 版 ， 供 读者 学 习 、 研 
帘 及 庚 藏 。 大 理 石 纹理 的 封面 ， 也 正体 现 了 这 套 丛 书 的 品位 和 格调 。 

“计算 机 科学 丛书 ”的 出 版 工作 得 到 了 国内 外 学 者 的 时 力 囊 助 ， 国 内 的 专家 不 仅 提供 了 中 
肯 的 选 题 指 导 ， 还 不 辞 劳苦 地 担任 了 翻译 和 审 校 的 工作 ; 而 原 书 的 作者 也 相当 关注 其 作品 在 
中 国 的 传播 ， 有 的 还 专程 为 其 书 的 中 译本 作 序 。 迄 今 ,， “计算机 科学 从 书 ” 已 经 出 版 了 近 百 个 
品种 ， 这 些 书籍 在 读者 中 树立 了 良好 的 口碑 ， 并 被 许多 高 校 采 用 为 正式 教材 和 参考 书籍 ， 为 
进一步 推广 与 发 展 打 下 了 坚实 的 基础 。 

随 着 学 科 建 设 的 初步 完善 和 教材 改革 的 逐渐 深化 ， 教 育 界 对 国外 计算 机 教材 的 需求 和 应 
用 都 步 人 一 个 新 的 阶段 。 为 此 ， 华 章 公司 将 加 大 引进 教材 的 力度 ， 在 “华章 教育 ”的 总 规划 
之 下 出 版 三 个 系列 的 计算 机 教材 : 除 “ 计 算 机 科学 丛书 ”之 外 ， 对 影印 版 的 教材 ， 则 单独 开 
辟 出 “经 典 原版 书库 ”; 同时 ， 引 进 全 美 通行 的 教学 辅导 书 “Schaum's Outlines” 系列 组 成 
“全 美 经 典 学 习 指 导 系 列 ”。 为 了 保证 这 三 套 丛 书 的 权威 性 ， 同 时 也 为 了 更 好 地 为 学 校 和 老师 
们 服务 ， 华 章 公 司 聘请 了 中 国 科学 院 、 北 京 大 学 、 清 华 大 学 、 国 防 科技 大 学 、 复 旦 大 学 、 上 
海 交 通 大 学 、 南 京 大 学 、 浙 江 大 学 、 中 国 科技 大 学 、 哈 尔 滨 工 业 大 学 、 西 安 交通 大 学 、 中 国 
人 民 大 学 、 北 京 航空 航天 大 学 、 北 京 邮电 大 学 、 中 山大 学 、 解 放 军 理工 大 学 、 郑 州 大 学 、 湖 
北 工学 院 、 中 国 国家 信息 安全 测评 认证 中 心 等 国内 重点 大 学 和 科研 机 构 在 计算 机 的 各 个 领域 
的 著名 学 者 组 成 “专家 指导 委员 会 "， 为 我 们 提供 选 题 音 见 和 出 版 监督 。 

这 三 套 丛 书 是 响应 教育 部 提出 的 使 用 外 版 教材 的 号 召 ， 为 国内 高 校 的 计算 机 及 相关 专业 
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的 教学 度 身 订 造 的 。 其 中 许多 教材 均 已 为 M. I. T.，Stanford，U.C. Berkeley, C. M. U. 等 世界 
名 牌 大 学 所 采用 。 不 仅 涵 盖 了 程序 设计 、 数 据 结构 、 操 作 系 统 、 计 算 机 体系 结构 、 数 据 库 、 
编译 原理 、 软 件 工 程 、 图 形 学 、 通 信和 与 网 络 、 离 散 数 学 等 国内 大 学 计算 机 专业 普遍 开设 的 核 
心 课 程 ， 而 且 各 具 特 色 一 一 有 的 出 自 语 言 设 计 者 之 手 、 有 的 历经 三 十 年 而 不 误 、 有 的 已 被 全 
世界 的 几 百 所 高 校 采用 。 在 这 些 圆 熟 通 博 的 名 师 大 作 的 指引 之 下 ， 读 者 必 将 在 计算 机 科学 的 
宫殿 中 由 登 堂 而 入 室 。 

权威 的 作者 、 经 典 的 教材 、 一 流 的 译 者 、 严 格 的 审 校 、 精 细 的 编辑 ， 这 些 因素 使 我 们 的 
图 书 有 了 质量 的 保证 ， 但 我 们 的 目标 是 尽善尽美 ， 而 反馈 的 意见 正 是 我 们 达到 这 一 终极 目标 
的 重要 帮助 。 教 材 的 出 版 只 是 我 们 的 后 续 服务 的 起 点 。 华 章 公司 欢迎 老师 和 读者 对 我 们 的 工 
作 提 出 建议 或 给 予 指 正 、 我 们 的 联系 方法 如 下 : . 


电子 邮件 : hzjsj@hzbook.com 

联系 电话 : (010) 68995264 

联系 地 址 : 北京 市 西城 区 百 万 庄 南 街 1 号 
邮政 编码 : 100037 


专家 指导 委员 会 
( 按 姓 氏 笔 画 顺 序 ) 
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逻辑 在 计算 机 科学 中 的 重要 作用 不 言 而 喻 ,但 传统 的 逻辑 课本 主要 面向 数学 方面 的 读者 。 即 使 
对 应 用 有 所 涉及 ， 也 多 仅 谈 及 早期 历史 或 某 个 专门 方向 的 例子 。 正 如 为 本 书 作 序 的 Clarke 所 说 ， 在 
近年 出 版 的 众多 逻辑 课本 中 ， 本 书 是 一 个 例外 。 本 书 不 但 概要 介绍 了 经 典 逻 辑 ， 而 且 介 绍 近年 来 非 
经 典 逻 辑 ( 程 序 逻 辑 、 时 态 逻 辑 和 模 态 逻 辑 等 ) 在 软件 工程 形式 化 方法 特别 是 在 模型 检测 与 验证 、 知 
识 工 程 、 高 效 算法 及 实现 等 方面 的 现代 应 用 ， 给 人 耳目 一 新 的 感觉 。 本 书 的 选材 和 作为 教材 的 特点 
在 序言 和 前 言 中 已 有 详 述 ， 被 世界 各 国 多 所 名 校 采纳 为 教材 也 充分 说 明了 其 价值 ， 此 处 不 需 再 叙 。 
然而 ， 由 于 国情 及 教学 体系 差别 等 方面 的 因素 ， 本 书 中 译本 的 使 用 范围 可 能 会 有 所 不 同 ， 可 能 更 广 
泛 、 更 灵活 一 些 。 我 就 自己 在 学 习 和 翻译 过 程 中 的 粗浅 体会 ， 谈 谈 本 书 的 一 些 特点 。 

本 书 代 表 了 欧美 近年 来 十 分 流行 的 一 种 教科 书写 作风 格 , 行文 模仿 教师 的 讲解 与 学 生 的 对 
话 ， 对 理论 背后 的 直觉 、 主 要 思想 及 方法 做 了 极其 详尽 的 (有 时 苏 至 是 不 厌 其 烦 的 ) 描 述 ， 辅 之 
以 丰富 的 实例 和 工业 规模 的 系统 实现 来 前 述 理论 结果 和 算法 。 从 教学 方面 看 ， 这 种 写作 风格 类 
似 我 国 在 20 世纪 50 ~ 60 年 代 翻 译 出 版 的 某 些 前 苏联 教材 。 这 种 风格 一 方面 方便 了 各 种 程度 的 读 
者 自学 ， 但 另 一 方面 的 确 也 有 不 符合 国内 教学 现状 的 情况 。 举 例 来 讲 ， 本 书 前 两 章 处 理 经 典 命题 
逻辑 和 谓词 人 逻辑 ， 篇 幅 约 占 全 书 三 分 之 一 以 上 。 虽 然 起 点 很 低 ( 几 乎 从 零 开始 )， 但 实质 内 容 偏 
少 ( 相 当 我 国 大 学 本 科 离 散 数 学 课程 所 含 的 逻辑 内 容 )。 很 多 基本 结果 没有 给 出 证 明 ， 直 观 背 景 
的 叙述 略 显 元 长 。 此 外 ， 还 有 部 分 材料 不 太 适 合 国内 的 教学 需要 ， 如 本 书 ( 包 括 练习 ) 讲 解数 学 
归纳 法 ， 却 不 加 解释 地 使 用 了 诸如 等 价 关 系 、 可 计算 性 或 复杂 性 等 概念 (尽管 是 非 形式 地 使 用 ) 。 
虽然 前 面 提 到 了 本 书 的 一 些 不 足 , 但 瑕 不 掩 瑜 ， 本 书 的 优点 还 是 非常 突出 的 。 全 书 的 观点 、 体 
系 、 内 容 甚至 习题 都 是 相当 现代 化 的 ， 许 多 主题 都 是 首次 出 现在 本 科 生 的 逻辑 教材 中 。 此 外 ， 本 
书 还 详细 介绍 了 几 种 较 成 熟 的 软件 实现 ， 为 读者 实践 书 中 讲解 的 内 容 ， 了 解 现 代 形 式 化 方法 的 
应 用 情况 都 极 有 帮助 。 本 书后 面 四 章 基本 上 是 独立 的 ， 每 章 分 别 介绍 一 个 主题 ， 内 容 相 对 比较 丰 
富 ， 但 不 太 系统 ， 多 是 人 门 性 的 介绍 和 实例 ， 少 有 形式 化 的 理论 和 证 明 。 综 上 所 述 ， 译 者 认为 本 
书 比较 适合 作为 本 科 高 年 级 选修 课 、 毕 业 论 文 或 其 他 小 型 研究 项 目的 参考 书 或 教材 ， 若 用 于 研 
究 生 课 程 则 需 补 充 相 关 的 文献 。 

本 书 的 氢 述 风格 以 及 涉 猜 广泛 的 西方 科学 、 技 术 和 文化 背景 等 给 翻译 工作 带 来 了 巨大 困难 ， 
我 们 虽 努 力 保持 原 书 的 语言 风格 ， 但 由 于 文化 背景 上 的 差异 以 及 译 者 水 平 的 限制 ， 中 译本 读 起 
来 可 能 会 感觉 有 些 “ 异 样 "， 希望 这 不 致 降低 本 书 的 学 术 与 使 用 价值 。 译 者 在 使 用 本 书 过 程 中 积 
累 了 一 些 教学 辅助 材料 ， 包 括 与 部 分 章节 有 关 的 幻灯 片 、 动 画 和 书 中 的 全 部 插图 (矢量 格式 )， 
有 兴趣 的 老师 可 通过 电子 邮件 与 译 者 直接 联系 (fanlei2002 @ sina. com), 或 通过 华章 网 站 
( www. hzbook. com) 下载。 

监 于 我 们 的 学 术 和 语言 水 平 有 限 ， 译 文中 难免 有 不 要 甚至 错误 之 处 ， 欢 迎 读者 及 专家 批评 
指正 。 


R & 
2007 年 4 月 





第 1 版 序 


形式 化 方法 的 时 代 终 于 来 临 了 ! 规范 描述 语言 、 定 理 证 明 器 以 及 模型 检测 器 开始 在 工业 
中 平常 地 使 用 。 数 理 逻 辑 是 所 有 这 些 技术 的 基础 。 直 到 现在 ， 写 给 计算 机 科学 家 的 逻辑 教材 
还 没有 跟 上 硬件 和 软件 规范 与 验证 工具 开发 的 脚步 。 例 如 ， 尽 管 模型 检测 在 时 序 电 路 设计 和 
通信 协议 验证 方面 获得 了 成 功 ， 但 至 今 为 止 ， 我 还 没有 看 到 任何 一 本 适合 本 科 生 和 低 年 级 研 
究 生 的 教材 来 尝试 解释 这 种 方法 是 如 何 工作 的 。 因 而 ， 这 些 材 料 很 少 被 教授 给 计算 机 科学 家 
和 电子 工程 师 们 ， 而 在 不 久 的 将 来 ， 作 为 其 工作 的 一 部 分 他 们 会 需要 这 些 知识 。 相 反 ， 在 一 
些 形 式 化 方法 有 可 能 真正 获 益 的 场合 ， 工 程 师 们 却 在 尽量 避免 使 用 ， 或 者 抱怨 形式 化 工具 使 
用 的 概念 和 记号 过 于 复杂 而 且 不 自然 。 这 是 很 遗憾 的 ， 因 为 形式 化 方法 背后 的 数学 是 相当 简 
单 的 ， 肯 定 不 比 每 个 上 微 积分 课 的 学 生 们 必须 要 学 习 的 那些 数学 分 析 概 念 更 困难 。 

由 M. Huth 和 M. Ryan 写 的 本 书 是 一 部 很 特别 的 著作 。 我 第 一 次 仔细 阅读 这 本 书 时 感到 
很 惊讶 。 除 了 命题 逻辑 和 谓词 逻辑 外 ， 本 书 还 对 时 态 逻 辑 和 模型 检测 进行 透彻 的 讲解 。 事 实 
上 ， 本 书 突出 的 优点 是 包含 如 此 之 多 的 材料 ; 线性 与 分 支 时 态 逻 辑 、 显 式 状态 模型 检测 A 
平 性 、 计 算 树 逻辑 (CTL) 的 基本 不 动 点 定理 甚至 还 有 二 又 判定 图 和 符号 模型 检测 。 此 外 ， 这 
些 材 料 是 以 一 种 适合 本 科 生 和 低 年 级 研究 生 的 程度 来 讲解 的 。 书 中 提供 了 大 量 的 问题 和 例 
子 ， 以 帮助 学 生 掌 握 所 讲授 的 材料 。 由 于 Huth 和 Ryan 都 是 程序 逻辑 和 程序 验证 方面 非常 活 
跃 的 研究 者 ， 他 们 的 作品 具有 相当 的 权威 。 

总 之 ， 本 书 的 材料 是 最 新 的 、 实 用 的 ， 而 且 讲解 精彩 ， 是 现代 计算 机 科学 逻辑 教材 的 一 
个 很 好 范例 。 我 以 最 大 的 热情 向 读者 推荐 本 书 ， 并 预期 本 书 将 获得 巨大 成 功 。 


Edmund M. Clarke 
卡 内 基 一 梅 隆 大 学 
计算 机 科学 FORE Systems 教授 





第 2 版 前 言 


本 书 的 ( 重新 ) 写作 动机 


本 书 第 1 版 的 写作 主旨 之 一 来 自 于 以 下 观察 : 在 计算 机 系统 的 设计 、 规 范 描述 和 验证 中 
使 用 的 大 多 数 逻 辑 基本 上 都 是 处 理 一 个 满足 关系 
ME 
其 中 MM 是 某 种 场景 或 系统 的 模型 ， 而 $ 是 一 个 规范 ， 该 逻辑 的 一 个 公式 ， 用 来 描述 在 场景 
AM 中 什么 应 该 是 真 的 。 这 种 结构 的 核心 在 于 : 我 们 可 以 经 常规 范 并 实现 计算 E 的 算法 。 我 们 
为 命题 逻辑 、 一 阶 逻 辑 、 时 态 逻 辑 、 模 态 逻 辑 和 程序 逻辑 发 展 了 这 个 主题 。 基 于 我 们 所 收 到 
的 来 自 五 大 洲 读者 的 鼓励 性 反馈 ， 我 们 很 高 兴 出 版 本 书 的 第 2 版 ， 本 版 遵循 了 第 1 版 的 原始 
主旨 并 有 所 改进 。 


新 增 的 内 容 和 删除 的 内 容 


第 1 章 讨论 关于 完全 命题 逻辑 的 SAT 求解 器 (与 St&lmarck 方法 [SS90] 类 似 的 一 种 标记 
算法 ) 的 设计 、 正 确 性 和 复杂 性 。 

第 2 章 包 含 了 模型 论 的 基本 结论 ( 紧 性 定理 和 Liwenheim - Skolem 定理 ) ， 关 于 传递 闭 包 和 存 
在 式 及 全 域 式 二 阶 逻 辑 表达 能 力 的 一 节 ， 以 及 关于 对 象 建 模 语 言 Alloy 及 其 分 析 器 (用 于 说 明 及 探 
索 未 规范 化 的 一 阶 逻 辑 模型 的 性 质 ， 这 种 性 质 是 用 带 有 传递 闭 包 的 一 阶 逻 辑 语言 书写 的 ) 使 用 的 
一 节 。Alloy 语言 编写 的 程序 是 可 执行 的 ， 使 得 这 个 说 明 及 探索 过 程 成 为 交互 的 和 形式 化 的 。 

第 3 章 已 经 完全 重新 组 织 了 。 这 章 的 开始 讨论 线性 时 态 逻 辑 ， 彻 底 概述 了 开放 源码 程序 
NuSMV 模型 检测 工具 的 特性 ， 并 且 包 括 规 划 问 题 的 讨论 ， 增 加 了 关于 时 态 逻 辑 表达 能 力 的 
材料 ， 以 及 新 的 建 模 实 例 。 

第 4 章 包含 更 多 关于 完全 正确 性 证 明 的 材料 ， 以 及 关于 验证 程序 正确 性 的 合同 编程 范例 
的 一 节 。 

第 5 章 和 第 6 章 也 进行 了 修订 ， 做 了 很 多 小 的 改动 和 订正 。 


各 章 之 间 的 依赖 关系 和 预备 知识 


本 书 要 求学 生 了 解 初 等 数学 的 基础 知识 和 朴素 集合 论 概念 和 记号 。 第 1 章 的 核心 材料 
(BR 1.4.3 节 到 1.6.2 节 以 外 的 所 有 内 容 ) 是 其 后 的 所 有 章节 的 基础 。 除 此 之 外 ， 只 有 第 6 章 
依赖 于 对 第 3 章 以 及 对 第 2 章 中 静态 范围 规则 的 基本 理解 ， 尽 管 如 此 ， 即 使 完全 不 看 第 3 
章 ， 也 可 以 容易 地 读 介 6. 1 节 和 6. 2 节 的 内 容 。 各 章 的 大 致 依赖 关系 如 下 图 所 示 : 





WWW 支持 


本 书 的 Web 支持 站 点 包含 : 勘误 表 、 所 有 程序 代码 的 文本 文件 、 辅 助 技术 资料 各 
链接 、 所 有 图 形 、 基 于 多 项 选择 题 的 交互 式 指导 以 及 教师 如 何 获 得 书 中 带 有 * 号 练习 - 
题 答 案 的 详细 办 法 。 本 书 支持 站 点 的 URL 是 www. cs. bham. ac. uk/research/lics/， 也 可 以 访 
ja] www. cambridge. org/052154310x。 
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第 1 章 命题 逻辑 


在 计算 机 科学 中 的 有 逻辑 是 为 了 创建 一 种 语言 ， 使 人 们 能 够 对 计算 机 科学 领域 中 所 遇 到 的 
情境 进行 建 模 ， 并 在 这 种 方式 下 ， 对 情境 进行 形式 化 推理 。 对 情境 进行 推理 意味 着 构造 与 其 
相关 的 论证 ， 人 们 希望 这 个 过 程 形式 化 ， 使 这 些 论 证 经 得 起 严格 的 推荐 ， 或 者 能 够 在 计算 机 
上 实现 。 

考虑 以 下 的 论证 。 

例 1.1 如 果 火 车 上 晚点， 而且 车 站 没有 出 租车 ， 那 么 John 参加 会 议 就 会 迟到 。John 没 
有 迟到 ， 火 车 的 确 是 晚点 了 ， 因 此 ， 车 站 有 出 租车 。 

直观 地 看 ， 这 个 论证 是 有 效 的 。 如 果 将 第 一 句 话 和 第 三 句 话 放 在 一 起 看 ， 我 们 得 知 : 如 
果 没 有 出 租车 ， 那 么 John 就 会 迟到 。 第 二 名 话 告诉 我 们 他 没有 迟到 ， 所 以 ， 这 种 情况 一 定 
是 有 出 租车 。 

本 书 将 用 很 多 篇 幅 考虑 具有 下 述 结 构 的 论证 : 先 有 若干 语句 ， 其 后 是 词 “ 因 此 ”， 然 后 
是 另 一 个 语句 。 如 果 “ 因 此 ”后面 的 语句 能 够 由 其 前 面 的 语句 符合 逻辑 地 推导 出 来 ， 这 个 论 
证 就 是 有 效 的 。 本 章 和 下 一 章 的 主题 就 是 要 给 “推导 出 来 "这 个 词 以 精确 的 含义 。 

再 考虑 一 个 例子 。 

例 1.2 WIR FR, Jane 没有 带 伞 ， 就 会 被 淋 湿 。 而 Jane 没有 被 淋 湿 ， 确 实 下 十 了 ， 国 
We, Jane 带 企 了 。 

这 也 是 一 个 有 效 的 论证 。 进 一 步 的 考察 发 现 : 这 个 论证 与 前 一 个 例子 的 论证 实际 上 有 相 
同 的 结构 ! 我 们 所 做 的 不 过 是 将 某 些 语句 片段 用 其 他 的 语句 片段 来 代 换 


例 1.1 例 1.2 
火车 晚点 了 天 下 雨 了 
车 站 有 出 租车 Jane 带 伞 了 
John 参加 会 议 迟 到 了 Jane 被 淋 湿 了 


无 需 谈论 火车 还 是 下 雨 ， 每 个 例子 中 的 论证 都 可 以 陈述 如 下 : 

如 果 P 且 非 49, 那么 r， 非 r,p, 因 此 ,g。 
在 逻辑 表达 的 过 程 中 ， 我 们 并 不 关心 语句 真正 表示 什么 意思 ， 仅 考虑 其 逻辑 结构 。 当 然 ， 在 
像 上 面 那样 使 用 推理 时 ， 语 名 的 意义 会 有 很 大 的 影响 。 


1.1 判断 语句 


为 了 做 严格 的 论证 ， 我 们 需要 开发 一 种 语言 ， 使 用 这 种 语言 表达 的 语句 可 以 反映 其 逻辑 
结构 。 我 们 从 命题 逻辑 语言 开始 ， 它 基于 命题 propositions ) 或 判断 语句 ( declarative 
sentences) ， 是 那 种 原则 上 可 以 论证 其 为 真 或 假 的 语句 。 下 面 是 判断 句 的 例子 : 

(1)3 和 5 的 和 等 于 8。 

(2) Jane 对 Jack 的 指控 反应 激烈 。 

(3) 每 个 大 于 2 的 偶 自 然 数 是 两 个 素数 的 和 。 

(4) 所 有 火星 人 都 喜欢 在 比萨 饼 上 放 意 大 利 香肠 。 








(5) Albert Camus était un écrivain francais® 。 

(6) Die Würde des Menschen ist unantastbar, 

这 些 语 名 都 是 判断 句 ， 因 为 它们 原则 上 都 可 以 声明 为 “ 真 " 或 “ 假 "”。 语 名 (1) 可 以 通过 
算术 基本 事实 (以 及 隐 含 的 假定 : 自然 数 用 十 进 制 的 阿拉 伯 数 字 表示 ) 加 以 验证 。 语 名 (2) 会 
有 些 问 题 。 为 了 给 其 赋 以 一 个 真 值 ， 我 们 要 知道 Jane 和 Jack 是 何许 人 ， 也 许 还 要 有 一 个 情 
境 的 目击 者 的 可 靠 描述 。 例 如 在 原则 上 ， 如 果 我 们 当时 在 场景 中 ,感觉 到 Jane 的 激烈 反应 ， 
证 明 事 情 确 实 发 生 了 。 语 句 (3)( 著 名 的 哥 德 巴赫 猜想 ) 看 上 去 是 直接 的 。 显 然 ， 关 于 所 有 大 
于 2 的 偶 自然 数 或 者 是 真 的 ， 或 者 是 假 的 。 但 是 ， 时 至 今日 无 人 知道 语句 (3 ) 是否 为 真 。 即 
便 它 是 真 的 ， 也 不 清楚 是 否 能 用 某 些 有 限 的 方法 来 证 明 。 鉴 于 此 ， 本 书 仅 考 虑 在 “原则 上 ” 
可 以 取 到 某 种 真 值 的 语句 ， 无 论 这 个 真 值 是 否 反 映 了 所 论 及 语句 表达 的 实际 状态 。 语 句 (4) 
似乎 有 些 无 聊 ， 但 我 们 可 以 说 : 如 果 火 星人 存在 而 且 吃 比萨 饼 ， 那 么 所 有 火星 人 喜欢 在 比萨 
饼 上 放 意 大 利 香肠 ， 或 者 不 喜欢 。( 如 果 火 星人 不 存在 ， 为 了 看 出 这 个 语句 是 判断 句 ， 我 们 
必须 用 第 2 章 中 介绍 的 谓词 逻辑 看 到 ， 这 个 语句 是 真 的 。) 总 之 ， 就 本 书目 的 而 言 ， 语 名 (4) 也 
可 以 判断 真 假 。Etalors qu’est-ce qu’on pense des phrases(5) et(6)? 如 果 你 恰好 懂 一 点 法 语 和 
德语 ， 语 句 (5) 和 语句 (6) 也 是 如 此 。 于 是 ， 判 断 语句 可 以 用 任何 的 自然 语言 或 人 工 语言 书写 。 

本 书 不 考虑 非 判 断 语 句 ， 比 如 : l 

© 请 把 盐 递 给 我 好 吗 ? 

。 各 就 位 ， 预备 ， 跑 ! 

© 祝 你 财运 亨通 。 

我 们 主要 关心 有 关 计算 机 系统 或 程序 性 能 的 精确 判断 名 或 陈述 语句 。 不 仅 想 规范 地 说 明 
这 类 语句 ， 而 且 想 验证 已 知 的 程序 或 系统 是 否 满足 当前 的 规范 。 于 是 ， 我 们 需要 发 展 一 种 推 
理 演算 ， 允 许 我 们 从 已 知 的 可 靠 假 定 ( 比 如 : 经 初始 化 的 变量 ) 得 出 结论 : 如 果 所 有 的 假定 
都 是 真 的， 那么 结论 也 应 该 是 真 的。 可 靠 假定 的 含义 就 是 保 真 值 。 一 个 困难 得 多 的 问题 是 ; 
已 知 计算 机 程序 的 一 个 任意 真性 质 ， 是 否 能 够 找到 用 这 种 推理 演算 书写 的 论证 ， 以 此 性 质 作 
为 其 结论 ? 上 面 的 判断 名 (3) 就 是 在 数论 的 框架 内 说 明了 此 类 问题 的 关键 所 在 。 

我 们 要 设计 的 逻辑 本 质 上 是 符号 的 (symbolie) 。 我 们 将 把 英语 书写 的 所 有 判断 句 的 一 些 
充分 大 的 子 集 翻 译 成 符号 字 串 。 给 出 判断 名 的 经 过 压缩 的 、 但 仍然 完备 的 编码 ， 使 我 们 得 以 
重点 关注 论证 的 机 理 。 这 一 点 是 非常 重要 的 ， 因 为 计算 机 系统 或 软件 的 规范 就 是 这 些 判断 句 
的 序列 。 进 而 ， 它 展现 了 对 规范 自动 化 处 理 的 可 能 性 ， 而 自动 处 理 是 计算 机 乐于 做 的 事 
情 ” 。 我 们 的 策略 是 将 一 些 语句 视 为 原子 的 (atomic) ， 或 不 可 分 解 的 (indecomposable) ， 像 语句 

“5 是 偶数 。” 

我 们 为 每 个 原子 语句 赋予 一 个 不 同 的 符号 p，g，r，…， 有 时 也 用 p, P, p, =, $ 
后 可 以 按照 合成 的 (compositional) 方 式 来 编写 更 复杂 的 语句 。 例 如 ， 已 知 原子 语句 

Pp:“ 上 周 我 中 了 奖 。” 

gq:“ 我 买 了 一 张 彩票 。” 





© (5) 、(6) 两 名 分 别 为 法 语 和 德语 。 作 者 想 说 明 判 断 句 是 由 语句 结构 本 身 所 确定 ， 与 所 使 用 的 语言 无 关 。 为 了 
体现 这 层 含义 ， 此 处 保留 原文 不 译 。 一 一 译 者 注 

© 在 这 项 努力 中 ， 有 一 定 德 环 论证 (路 带 普 梁 ) ;在 证 明 一 个 计算 机 程序 满足 已 知性 质 的 过 程 中 ， 可 能 要 设 另 
一 个 计算 机 程序 O 尝试 找 出 P 满足 该 性 质 的 证 明 ， 但 是 谁 又 能 保证 Q 满足 仅 产生 出 正确 证 明 这 一 性 质 ? 我们 似 
平 陷 入 了 无 限 循环 论证 之 中 。 
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r:“ 我 中 了 上 周 的 赛马 大 奖 。” 

根据 下 列 规则 ， 我 们 可 以 组 成 更 复杂 的 语句 : 

7: 了 的 否定 (negation)， 记 作 一 p， 表 示 “ 上 周 我 没有 中 彩 ”， 或 者 用 等 价 语句 “上 周 我 中 彩 不 是 真 的 。” 

v: 表示 p 和 7 中 至 少 有 一 个 为 真 的 叙述 :“ 上 周 我 中 了 彩 , 或 者 ， 上 周 我 中 了 赛马 大 奖 。” 我 们 将 这 个 
判断 名 记 为 p Vr， 并 称 其 为 p Al r Ay IR (disjunction)? , 

A: P 八 r 表 示 p 和 7 的 相当 幸运 的 合 取 (conjunction) :“ 上 周 我 中 了 彩 和 赛马 大 奖 。” 

>: 最 后 一 个 规则 ， 但 肯定 不 是 最 不 重要 的 规则 ， 语 名 “如 果 上 周 我 中 了 彩 ， 那 么 我 买 了 一 张 彩 票 " 表 
达 了 P 和 9 之 间 的 一 种 区 涵 (implication) ， 指 出 9 是 P 的 一 个 逻辑 结果 。 我 们 用 pra 表示 这 一 点 9， 并 称 p 
是 pq 的 假设 (assumption) ， 而 q 是 其 结论 (conclusion) 。 

当然 ,我们 可 以 重复 地 使 用 这 些 构造 命题 的 规则 。 例 如 ， 可 以 形成 命题 

prqra7rvg 
它 意 味 着 :“ 如 果 p 且 4g， 那么 非 r 或 a”。 读 者 也 许 注意 到 ， 在 阅读 这 个 语句 时 有 一 种 潜在 
的 含糊 性 。 有 人 可 能 争辩 说 这 个 语句 的 结构 为 “是 p 的 情形 ， 而 且 如 果 g， 那 么 …”。 一 台 计 
算 机 会 要 求 插入 括号 ， 成 为 
(p44) > ((>1r) vq) 

从 而 消除 断言 中 的 含糊 性 。 然 而 ， 我 们 人 类 会 对 括号 的 泛滥 感到 苦恼 ， 这 也 是 我 们 对 这 些 逻 
辑 符 号 采用 绑 定 优先 级 约定 的 原因 。 

约定 1.3 一 比 v 和 ^ 有 更 高 的 绑 定 优先 级 ， 而 v“ 和 和 ^ 比 一 有 更 高 的 优先 级 。 荀 涵 一 是 右 
结合 的 : JEM poqor 的 表达 式 表示 p 一 (gr)。 


1.2 自然 演绎 


如 何 构 造 关 于 命题 的 推理 演算 ， 使 得 我 们 能 够 确立 例 1. 1 和 例 1. 2 中 推理 的 有 效 性 ? 很 
明显 ， 我 们 需要 有 一 组 规则 ， 其 中 的 每 一 条 都 允许 我 们 在 特定 的 前 提 下 得 到 一 个 结论 。 

在 自然 演绎 中 ， 有 这 样 一 组 证 明 规则 (proof rules) 。 这 些 规则 允许 我 们 由 其 他 公式 推断 
(infer) 出 新 公式 。 通 过 逐次 应 用 这 些 规 则 ， 我 们 可 以 由 一 组 前 提 推 断 出 一 个 结论 。 

我 们 来 看 这 是 如 何 做 到 的 。 假 定 有 一 组 称 为 前 提 8 ( premises) 的 公式 由 das $3, -~, 
由， 以 及 另 一 个 称 为 结论 ( conelusion ) 的 公式 风 。 通 过 将 证 明 规则 应 用 于 前 提 ， 我 们 希望 能 得 





但 ”此 处 或 (or) 的 意义 不 应 该 与 在 自然 语言 经 常 隐 含 的 “或 者 … 或 者 …”( either…or) 意义 相 混 淆 。 在 本 书 中 ,或 总 
意味 着 至 少 一 个 ， 不 应 理解 为 排 它 性 的 或 ， 后 者 泰 示 两 个 语句 中 的 恰好 一 个 成 立 。 

O “如 果 … 那 么 …” (ifthe) 自然 语言 意义 经 常 隐 含 地 假定 假设 与 结论 有 某 种 因果 关系 (假设 使 结论 成 为 可 
能 ) 。 然 而 ， 蕴 涵 的 逻辑 意义 是 不 同 的 ， 它 叙 述 了 从 假设 到 结论 的 保 真性 ， 而 无 需 任 何 因果 关系 。 例 如 ,， “如果 
所 有 的 鸟 都 会 《， 则 Bob Dole 从 没有 当 过 美国 总 统 。" 是 一 个 真 语句 ， 但 在 企鹅 的 飞行 技巧 与 有 效 的 竞赛 之 间 设 


有 已 知 的 因果 关系 。 
仿 ” 俱 辑 中 的 一 个 传统 是 使 用 希腊 字母 。 小 写字 母 用 于 表示 公式 ， 大 写字 母 用 于 表示 公式 集合 。 此 处 是 一 些 最 常用 
的 希腊 字母 及 其 读音 : 
小写 大 写 
phi 中 Phi 
psi ka Psi 
r Gamma 
eta A Delta 


~ Wer sag 
ic} 
E 
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出 更 多 的 其 他 公式 ， 再 将 更 多 的 证 明 规 则 应 用 于 这 些 公 式 ， 最 终 得 到 结论 。 我 们 将 此 意图 记 为 
中 b25°° 50, FY 
这 个 表达 式 称 为 和 拓 列 (sequent) 。 如 果 可 以 找到 它 的 证 明 ， 称 此 矢 列 为 有 效 的 (valid)。 例 1.1 
和 例 1.2 PHRI pgr, Dr, phg WEERKEREN E- TMAR EERI, A 
点 像 编 程 。 为 了 得 到 所 需 的 结论 ， 应 用 哪些 规则 ， 以 及 按照 什么 次 序 应 用 不 见得 是 明显 的 。 
此 外 ， 应 该 仔细 地 选择 证 明 规 则 ， 否 则 可 能 “证 明 ” 出 非法 的 论证 模式 。 例 如 ， 我 们 希望 不 
REWER IH RS p, qg pA q. EW, BAp 代表 “ 金 是 金属 ”，g 代表 “ 银 是 金属 ”， 知 道 这 
两 个 事实 不 应 该 允许 推断 出 “ 金 是 金属 而 银 不 是 金属 ”。 
现在 来 考察 证 明 规则 ， 总 共有 15 个 。 我 们 逐一 考察 每 个 规则 ， 然 后 在 本 节 末 尾 加 以 总 结 。 


1.2.1 自然 演绎 规则 


合 取 规则 “第 一 个 规则 称 为 合 取 规则 (^) ; 合 取 引入 。 这 个 规则 在 已 知 分 别 得 到 结论 b 
Aly 的 前 提 下 ， 推 导出 结论 由 ^ 峭 。 将 这 个 规则 写 为 
$ Yii 
pry 
横 线 的 上 面 是 该 规则 的 两 个 前 提 ， 横 线 的 下 面 是 结论 (这 个 结论 也 许 还 不 是 整个 论证 的 最 终 
结论 ， 为 了 得 到 最 终 的 结论 ， 可 能 还 需要 应 用 更 多 的 规则 ) 。 在 横 线 的 右 方 写 下 了 该 规则 的 
名 称 ，^ i 读 做 “ 合 取 引 入 "。 注 意 我 们 (在 结论 中 ) 引 进 了 ^， 而 此 前 (在 前 所 中 ) 没有 。 
对 于 每 个 逻辑 联结 词 ， 都 有 一 个 或 多 个 用 于 引进 它 的 规则 ， 以 及 一 个 或 多 个 用 于 消去 它 
的 规则 。 关 于 合 取 消去 的 规则 有 两 个 : 
bay 
$Y y 
规则 ^ e, 表示 : 如 果 有 了 由 ^ 峭 的 证 明 ， 通 过 应 用 该 规则 可 以 得 到 6 的 一 个 证 明 。 规 则 ^ e, 
表示 相同 的 事情 ， 但 是 允许 推导 出 结论 消 。 注 意 这 些 规 则 的 相关 性 : 在 式 (1-1) 的 第 一 个 规 
则 中 ， 结 论 $ 必须 匹配 前 提 的 第 一 个 合 取 项 ， 而 第 二 个 合 取 项 yj 的 精确 特征 是 不 相关 的 。 
第 二 个 规则 只 是 调换 了 次 序 ， 结论 y 必须 匹配 前 提 的 第 二 个 合 取 项 ,而 o 可 以 是 任意 公 
式 。 在 应 用 证 明 规则 之 前 ， 明 确 这 种 类 型 的 模式 匹配 是 很 重要 的 。 
例 1.4 我们 使 用 这 些 规则 证 明 p Ag, reg ^r 是 有 效 的 。 开 始 写 下 前 提 ， 然 后 留 下 一 
些 空隙 ， 并 写 上 结论 





PAL (1-1) 


“Ae, 


t 
p^g 
q^r 
构造 证 明 的 任务 就 是 应 用 一 系列 适当 的 证 明 规则 ， 填 充 前 提 与 结论 间 的 空 阶 。 在 本 例 中 ,将 
Ae, 用 于 第 一 个 前 提 ， 给 出 9， 然 后 将 ^i 用 于 这 个 9 ABBOT ATH, Bag ^ r。 这 样 证 明 
就 完成 了 ! 通常 ， 我 们 将 所 有 的 行 标 上 行 号 ， 并 写 出 每 一 行 的 理由 ， 于 是 产生 出 ; 


1 p^g 前 提 
2 r 前 提 
3 q A el 
4 q ^r ^i3,2 


现在 读者 可 以 尝试 自己 来 证 明 (p ^ g)^r，s ^ tH- gq 人 ^s 是 有效 的 ， 以 此 来 检验 自己 是 否 理解 
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了 上 述 内 容 。 注 意 : 规则 中 的 由 和 乡 不 仅 可 以 用 原子 语句 加 以 实例 化 ( 像 刚 刚 给 出 的 例子 中 
的 P 和 4)， 也 可 以 使 用 复合 语句 。 于 是 ,由 (P^ 9)^r， 通 过 应 用 ^ e, H $ 实例 化 为 p ^ 
49， 而 几 实 例 化 为 ">， 我 们 可 以 推导 出 P^9。 

如 果 我 们 逐 字 逐 名 地 应 用 这 些 证 明 规 则 ， 那 么 上 述 证 明 实际 上 是 一 棵 根 为 g ^r、 叶 为 
P 个 g 和 7 的 树 ， 如 下 所 示 : 





4^ 人 7 

但 是 ， 如 果 把 树 放 平 成 为 一 种 线性 表示 ， 就 必须 使 用 指针 ， 如 上 面 的 第 3 行 和 第 4 行 。 这 些 
指针 使 我 们 能 够 重新 创建 出 实际 的 证 明 树 。 在 本 书 中 ， 我 们 将 采用 水 平 的 方式 来 表示 证 明 ， 
这 种 方式 可 以 使 读者 将 精力 集中 在 如 何 找到 证 明 ， 而 不 是 放 在 如 何 将 一 棵 不 断 增长 的 树 画 在 
一 张 纸 上 。 

如 果 一 个 矢 列 式 是 有 效 的 ， 可 以 有 很 多 不 同 的 方式 来 证 明 。 因 此 ， 如 果 你 将 自己 对 练习 
的 解 与 其 他 人 的 解 作 比 较 ， 可 能 会 有 所 不 同 。 然 而 ， 任 何 公认 的 证 明 都 可 以 通过 以 下 的 过 程 
验证 其 正确 性 : 从 最 上 面 一 行 开始 ， 验 证 每 个 单独 的 行 都 是 证 明 规 则 的 有 效应 用 ， 认 识 到 这 
一 点 是 非常 重要 的 。 

双重 否定 规则 直观 地 看 ， 一 个 公式 由 与 其 双重 否定 ~ 一 由 之 间 没有 差别 : = p MR 
达 的 既 不 比 本身 多 也 不 比 其 少 。 语 名 “不 下 雨 不 是 真 的 "不 过 是 “下 雨 了 ”的 一 种 更 精心 设 
计 的 说 法 。 反 之 ， 知 道 " 下 雨 了 ”， 只 要 愿意 ， 我 们 可 以 自由 地 以 这 种 更 复杂 的 方式 来 叙述 
这 个 事实 。 于 是 ， 我 们 得 到 了 关于 双重 否定 的 消去 和 引入 规则 ; 

Tél, _¢ ~ni 
e 

(后面 我 们 还 将 看 到 关于 单 重 否定 本 身 的 规则 。) ， 

例 1.5 下 面 对 矢 列 p，””(9^mF””P^r 的 证 明 使 用 了 到 目前 为 止 讨论 的 大 多 数 证 
明 规则 : 





1 P 前 提 
2 -7-7(g 人 7) 前 提 
3 amp ”il 
4 gar “ne? 
5 7 Ae, 4 
6 “a4 par Ai3,5 


例 1.6 现在 我 们 来 证 明 上 一 节 请 读者 自行 证 明 的 矢 列 (p^g)^r，s^t+HqgA^s。 请 将 
自己 的 解答 与 下 面 的 证 明 加 以 比较 。 


1 (pAq) Ar 前 提 
2 sAt 前 提 
3 p^g ^el 
4 q A e,3 
5 s Ae, 2 
6 qs Ai 4,5 
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蕴涵 消去 规则 “有 一 个 引进 规则 一 和 一 个 消去 规则 ， 后 者 是 命题 逻辑 的 最 著名 的 规则 之 
一 ， 经 常 称 为 分 离 规则 (拉丁 文 modus ponens)。 通 常 ， 我 们 用 其 现代 名 称 “ 草 涵 消去 "来 称 
呼 ( 有 时 也 称 为 箭头 消去 ) 。 这 个 规则 表示 ,已 知 4$ 及 蕴涵 沙 ， 我 们 可 以 正确 地 得 到 沙 。 在 
演绎 中 ， 将 此 规则 写 为 ， 

由 ob, 
4 
我 们 通过 给 出 一 些 判断 句 P 和 4 的 实例 说 明 这 个 规则 的 合理 性 。 假 定 
Dp: 下 过 雨 了 
p 一 9: 如 果 下 过 雨 了 ,那么 街道 是 湿 的 。 
因此 ，g 就 是 “街道 是 湿 的 。” 现 在， 如 果 我 们 知道 下 过 雨 了 ， 而 且 知 道 下 过 十 街道 是 漫 的 ， 
那么 我 们 可 以 将 两 条 信息 结合 起 来 得 到 “街道 确实 是 湿 的 ”这 个 结论 。 因 此 ，-*e 规则 的 合理 
性 不 过 是 应 用 常识 。 再 看 另 一 个 编程 的 例子 ， 
P :程序 的 输入 值 是 一 个 整数 。 
p 一 9: 如 果 程 序 的 输入 值 是 一 个 整数 ,那么 程序 输出 一 个 布尔 值 。 

同样 ， 我 们 可 以 将 这 些 信 息 集 合 在 一 起 得 到 结论 : 如 果 给 程序 一 个 整数 输入 ， 它 会 产 
生 一 个 布尔 值 输出 。 然 而 ， 重 要 的 是 认识 到 : p 的 出 现 对 于 所 发 生 的 推断 是 绝对 基本 
的 。 例 如 ， 程 序 可 能 很 好 地 满足 p~*9g， 但 它 不 满足 p( 比如 说 输入 了 一 个 姓 ) ， 那 么 我 
们 不 能 推导 出 qo 

如 前 面 已 经 看 到 的 ，-e 的 形式 参数 o 和 可 以 用 任何 语句 (包括 复合 句 ) 来 实例 化 : 


e 


1 ap^q 前 提 
2 7pAq-orvo-7p 前 提 
3 ranp —e2,1 


SR, 我们 可 以 不 计 次 数 地 使 用 任意 规则 。 例 如 ， 已 知 p，p 一 g Mpo(qor), RATA 
以 推断 出 7: 


1 p— (qr) 前 提 
2 pg 前 提 
3 p 前 提 
4 d 一 了 >e1,3 
5 q >e2,3 
6 r +e 4,5 


在 开始 讨论 蕴涵 引入 之 前 ， 我 们 先 考察 一 个 混合 规则 ， 其 拉丁 名 字 为 modus tollens( 5 
证 规则 ) 。 像 规则 一 e。， 这 个 规则 消去 一 个 蕴涵 。 假 定 有 pq 和 一 g， 那 么 车 p 成 立 ， 可 以 应 
Fie 得 到 9 成 立 。 于 是 ， 我 们 就 会 有 9 和 一 g 成 立 ， 这 是 不 可 能 的 。 因 此 ， 我 们 可 以 推断 
出 p 必须 是 假 的 ， 而 这 只 能 表明 一 p 是 真 的 。 我 们 将 此 推理 总 结 为 反 证 规则 9 ( MT) ， 


b> bby 
= 





O 后面 我 们 可 以 从 其 他 规则 推导 出 这 个 规则 ， 此 处 引进 是 因为 它 已 经 使 我 们 能 做 一 些 相当 灵活 的 证 明 。 当前 ， 你 
可 以 将 其 视 为 一 个 更 高 阶 水 平 的 规则 ， 因 为 它 没有 提 及 其 所 依赖 的 更 低 阶 的 规则 。 
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我 们 还 是 看 一 个 在 自然 语言 框架 下 使 用 该 规则 的 例子 : 
“So REGGE - 林肯 是 埃塞俄比亚 人 ， 那 么 他 是 一 个 非洲 人 。 亚 伯 拉 罕 。 林肯 不 是 非洲 人 ， 因 
此 他 不 是 埃塞俄比亚 人 。” 
例 1.7 ERRAR pr), p, are og 的 下 列 证 明 中 ， 我 们 使 用 目前 为 止 所 引进 
的 几 个 规则 : 


1 p->(q>r) 前 提 
2 Pp 前 提 
3 “r 前 提 
4 q—>r —el, 2 
5 =q MT 4, 3 


例 1.8 将 MT 规则 与 -一 e 或 -一 i 结合 的 两 个 示例 性 证 明 。 一 个 证 明 矢 列 式 一 pg， 
"qh p 是 有 效 的 : 


1 “p>q ” 前提 
2 “g 前 提 
3 anp MT 1,2 
4 P me3 
Fi — MEH RAK pP 一 9，9 上 一己 的 有 效 性 : 
1 P 一 ”4 前 提 
2 q 前 提 
3 一 9 7712 
4 ap MT 1,3 


注意 : 在 这 两 个 例子 中 ， 应 用 双重 否定 和 MT 规则 的 次 序 是 不 同 的 ， 这 个 次 序 是 由 要 证 
明 有 效 性 的 特别 矢 列 式 的 结构 所 驱动 的 。 

蕴涵 引入 规则 规则 MT 使 我 们 得 以 证 明 矢 列 pg，-- gqg 上 一 p 的 有 效 性 ， 但 矢 列 
P> Hogon p 的 有 效 性 看 起 来 也 是 合理 的 。 从 菜 种 意义 上 讲 ， 这 两 个 矢 列 说 的 是 同一 
件 事情 。 尽 管 如 此 ， 到 目前 为 止 ， 我 们 还 没有 能 够 构建 不 出 现在 证 明 前 提 中 的 蕴涵 的 规 
则 。 这 种 规则 的 机 理 比 已 经 看 到 的 规则 要 更 复杂 ， 因 此 要 小 心 进行 。 假 定 有 pg, Fk 
时 假定 ~g 成 立 ， 我 们 可 以 应 用 MT 推断 出 一 p。 于 是 ， 假 定 pod, 我 们 可 以 证 明 一 g 蕴涵 
”PP， 而 我 们 将 后 者 符号 化 地 表示 为 ”9 一 p。 总 之 ， 我 们 找到 了 pg 上 一 gp 的 一 个 
论证 : 





1 P>q 前 提 
2 “qg 假设 
3 ~p MT1,2 
4 7q-> 7p —+i2-3 


证 明 中 的 矩形 框 表示 临时 假定 一 g 的 范围 。 它 所 表达 的 意思 是 : 我 们 假定 一 g。 为 了 做 到 这 
一 点 ， 打 开 抑 形 框 并 将 ”9 置 于 顶端 。 然 后 ， 如 常 连续 应 用 其 他 规则 得 到 一 p。 但 这 样 做 时 
仍然 依赖 于 假定 -~g， 故 都 在 矩形 框 内 进行 。 最后， 我们 准备 好 应 用 -i， 这 使 我 们 得 到 结论 
”94 一"P， 而 此 结论 不 再 依赖 于 假定 ” 9。 将 上 述 推理 与 下 面 的 说 法 做 比较 ;“ 如 果 你 是 法 国 
人 人， 那么 你 是 欧洲 人 。" 这 名 话 的 真 假 不 依赖 于 任何 人 是 否 为 法 国人 。 因此 ， 我 们 将 结论 
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~ q> p 写 在 矩形 框 的 外 边 。 

如 果 我 们 将 pg 视 为 一 个 程序 的 类 型 ， 上 述 推理 依然 有 效 。 例 如 ，p 可 能 代表 该 程序 
期 望 一 个 整数 值 输入 *， 而 9 可 能 代表 该 程序 返回 一 个 布尔 值 y 作为 输出 。 现 在 ，p->9 的 有 
效 性 相当 于 一 个 假设 -保证 断言 : 如 果 输 入 是 整数 ， 那 么 输出 是 布尔 值 。 当 输入 不 是 整数 值 
的 情况 下 ， 同 一 个 程序 可 能 计算 出 一 些 莫名 其 妙 的 东西 或 干脆 就 谓 溃 了 ， 此 时 这 个 断言 也 是 
真 的。 现在 ， 使 用 规则 一 i 证 明 pg 称 为 类 型 检测 (type checking) ， 在 构造 带 类 型 编程 语言 
的 编译 器 时 ， 类 型 检测 是 一 个 重要 的 论题 。 

于 是 ， 我 们 将 规则 一 i 形成 固定 格式 如 下 : 


vl. 


o> 

这 个 规则 表示 : 为 证 明 由 一 少 ， 做 临时 的 假定 少 ， 然 后 证 明 峭 。 在 证 明 峭 的 过 程 中 ， 可 以 使 
用 由， 以 及 任何 其 他 公式 ， 诸 如 前 提 和 当前 已 经 得 到 的 临时 结论 等 等 。 证 明 可 以 包括 嵌 套 矩 
形 框 ， 或 者 在 原 有 的 矩形 框 关闭 后 又 打开 新 的 矩形 框 。 还 有 一 些 规则 用 来 说 明 在 证 明 中 的 哪 
些 位 置 可 以 使 用 哪些 公式 。 一 般 来 讲 ， 在 一 个 已 知 位 置 的 证 明 中 ， 只 有 在 公式 o 先 于 该 位 
置 出 现 ， 而 且 出 现 $ 的 矩形 框 都 没有 关闭 的 情况 下 ， 才 可 以 使 用 公式 $o 

紧 跟 在 关闭 的 和 矩形 框 后 面 的 行 必须 与 使 用 该 矩形 框 的 规则 所 得 到 的 结论 模式 相 匹配 。 就 
蕴涵 引信 而 言 ， 这 意味 着 ， 如 果 一 个 矩形 框 的 第 一 个 公式 是 5， 最 后 一 个 公式 为 yy， 那 么 紧 
RÉRE E TT OA by, 我 们 还 会 再 遇 到 涉及 证 明 框 的 两 个 证 明 规 则 ， 它们 也 
需要 类 似 的 模式 匹配 。 

例 1.9 这 是 使 用 一 i 的 另 一 个 例子 ， 它 证 明了 矢 列 ~ 9g 一 pH pn q 的 有 效 性 : 
”4 一 ”PP WE 


1 
2 
3 
4 





5 po 77q — i 2-4 
注意 : 我 们 可 以 将 规则 MT 应 用 于 出 现在 矩形 框 内 或 其 上 的 公式 : 在 第 4 行 ， 包含 第 1 行 或 
第 3 行 的 矩形 框 没有 关闭 。 
现在 ， 考 虑 证 明 pF P 的 下 列 单行 论证 是 很 有益 的 : 
1 p 前 提 
规则 ->i( 以 dp 为 结论 ) 并 没有 排除 和光 重合 的 可 能 性 ， 两 者 都 可 以 实例 化 为 p。 因此 ， 
可 以 将 上 面 的 证 明 扩 展 为 : 





1 P 假设 
2 p—p — il-1 
我 们 用 F pp 表示 pop 的 证 明 根 本 不 依赖 于 任何 前 所。 
.定义 1. 10 车 逻 辑 公式 由 具有 有 效 的 矢 列 F 由 ， 则 称 由 是 定理 。 
例 1.11 下 面 是 定理 的 一 个 例子 ,其 证 明 使 用 了 到 目前 为 止 引进 的 大 岁数 规则 ; 
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1 
2 

3 

4 

5 

6 

7 

8 pr 

9 (7q>7p) > (pr) > i2-8 
10 (qr) > ((7q>7p) > (p 7)) —>il-9 





图 1-1 BA(g>r)>( (q> p)—>(p—r)) HBA , 
显示 了 公式 的 结构 如 何 确定 证 明 的 结构 


All, Kt (4 一 门 一 (( 一 9 一 p) (por) ) BARK, BH (qor) 3 ( (7 qr p)> 
(por) ) 是 另 一 个 定理 。 

评注 1. 12 事实 上 ， 这 个 例子 指出 ， 可 以 将 pi, da, =, p, H 由 的 任何 证 明 变 换 为 
定理 





E pi > (br > (h > (C—C, 9) ) )) 
的 一 个 证 明 : 通过 规则 一 i 依次 应 用 于 pa Pais es di KX n 行 证 明 加 到 原 有 的 证 
明 中 。 
例 1. 11 的 证 明 中 嵌 套 的 矩形 框 揭示 了 一 种 模式 : 首先 使 用 消去 规则 ， 解 构 我 们 所 做 的 
假设 ， 然 后 引入 规则 构建 最 终 的 结论 。 更 困难 的 证 明 可 以 涉及 到 若干 个 这 样 的 阶段 。 
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我 们 把 这 个 重要 的 论题 放 在 以 后 讨论 。 我 们 是 怎么 处 理 例 1. 11 证 明 的 ? 一 部 分 用 已 有 
的 公式 结构 确定 ， 其 他 部 分 要 求 有 创造 性 。 考 虑 图 1-1 描述 的 逻辑 结构 (4 一 上) 一 (人 (一 4 一 
一 了 ) 一 (p 一 r) )。 公 式 整 体 是 一 个 蕴涵 ， 因 为 一 是 图 1-1 中 树 的 根 。 但 是 构建 蕴涵 的 唯一 方 
法 就 是 利用 规则 ->i。 这 样 ， 我 们 需要 阐述 假设 (第 1 行 ), 证 明 结论 (第 9 行 )。 如 果 能 够 做 
到 这 一 点 ， 就 能 得 到 第 10 行 的 证 明 。 事 实 上 ， 正 像 评 注 说 的 ， 这 是 得 到 结论 的 唯一 方法 。 
因此 ， 本 质 上 说 , 第 1、9 和 10 行 完 全 由 公式 结构 确定 。 解 决 问题 就 是 要 填充 行 1~9。 但 
是 ， 因 为 第 9 行 是 一 个 蕴涵 ， 因 此 ， 只 有 一 种 方法 证 明 它 ; 假设 前 提 在 第 2 行 ， 尝 试 证 明 第 
8 行 的 结论 ; 如 前 ， 第 9 行 用 规则 一 i 得 到 。 第 8 行 的 公式 por 是 男 一 蕴涵 。 因 此 ， 我 们 必 
须 在 行 3 中 假设 p， 希望 在 第 7 行 证 明 r， 于 是 一 i 产生 第 8 行 期 望 的 结果 。 

现在 剩 下 的 问题 是 : 怎么 使 用 1 ~3 行 的 3 个 假设 证 明 r。 这 就 是 这 个 证 明 中 的 创造 性 部 
分 。 在 第 1 TAR qr, FAM REA 9， 如 何 得 到 r( 使 用 一 e)。 那 么 ,怎么 得 到 9? 
2、3 行 看 起 来 很 像 MT 规则 模式 ， 从 而 ， 在 第 5 行 得 到 -gq; 后 者 利用 规则 一 一 e 马上 得 到 
第 6 行 的 g。 但 是 ， 还 不 能 马上 匹配 MT 模式 ， 因 为 要 用 一 一 g 代替 g， 但 可 以 在 第 4 行 通过 
一 一 i 很 容易 得 到 。 

这 个 讨论 说 明 公 式 的 逻辑 结构 能 告诉 我 们 许多 关于 一 个 可 能 的 证 明 结 构 ， 并 且 一 定 值得 
我 们 花 时 间 利 用 信息 尝试 证 明 矢 列 。 在 结束 关于 蕴涵 规则 这 一 节 之 前 ， 再 看 几 个 例子 (这 里 

















还 涉及 合 取 规 则 ) 。 
例 1. 13 使 用 规则 ^i， 可 以 证 明 矢 列 p ^ qrt pqr) MARE: 
1 pAq-r 前 提 
2 
3 
4 
5 
6 : 
7 p—(q-r) — i 2-6 
例 1. 14 运用 消去 规则 ^ ee ，^ ee ， 也 可 以 证 明 上 面 矢 列 的 “ 逆 ? 的 有 效 性 : 
1 pP>(q>r) 前 提 
2 假设 
3 p Ae, 2 
4 q Ae, 2 
5 dg 一 了 >el,3 
6 r >e5,4 
7 pAq-r — 12-6 


PP^ 人 94 一 rp 一 (9 一 r) 和 2 一 (4 一 rp 和 9 一 rr 的 有 效 性 说 明 这 两 个 公式 是 等 价 的 ， 即 可 
以 从 一 个 证 明 另 一 个 。 把 这 种 情况 表示 为 : 
PAq->rakp—(q-r) 
符号 F 的 右边 只 对 应 一 个 公式 ， 而 符号 4H 对 应 两 个 公式 。 
例 1.15 证 明 矢 列 p 一 9FPA^r 一 9^r 的 有 效 性 。 该 例子 使 用 了 合 取 的 引入 和 消去 
规则 。 
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1 p-q 前 提 

2 

3 

4 

5 

6 

7 pAaroqgaAr — 12-6 


析 取 规则 ” 析 取 规则 本 质 上 不 同 于 合 取 规则 。 合 取 情 形 是 简洁 清楚 的 : 要 证 明 by, 
只 需 将 证 明 p 和 证 明 y AA, BAA i。 对 于 析 取 情形 ， 析 取 运 用 引入 远 比 消去 更 容易 。 
因此 ， 我 们 先 介绍 规则 v i, MV i,。 从 前 提 四 推断 出 “4 或 yy” 成 立 ， 因 为 已 知 由 成立 。 注 意 
这 个 推断 对 的 任意 情形 都 成 立 。 同 理 ， 如 果 知 道上 水 ， 可 以 推测 “4 或 yw” 成 立 。 类 似 地 ， 推 
Bt > 的 任意 情形 者 成立。 这样， 我 们 有 证 明 规 则 : 
中 vi Y vi 
pyy ` yy * 
如 果 p 表示 “Agassi 在 1996 年 获得 一 枚 金牌 ”。9 表示 “ Agassi TE 1996 年 赢得 了 温 网 比 
赛 "。 那 么 p vg 成 立 ， 因 为 p 成 立 ,不 管 g 是 假 的 事实 。 自 然 ， 构 造 性 的 析 取 依赖 于 需要 分 
别 建立 析 取 p 或 g 的 假设 。 
现在 考虑 “或 消去 ”(or-elimination) 。 怎 样 在 证 明 中 使 用 公式 vy 呢 ?” 我 们 的 指导 原则 
是 把 假设 分 解 为 基本 要 素 ， 以 便 用 于 推理 中 的 论证 ， 提 炼 出 期 望 的 结论 。 假 设 要 证 明 某 个 命 
AX, BARR oyy HARANE o 和 乡 哪 一 个 是 真 的 ， 必 须 给 出 两 个 单独 的 证 明 ， 再 结 
合成 一 个 论断 。 
1. 首先 ,假设 $ 是 真 的 ， 得 出 X 的 证 明 。 
2. 其 次 ,假设 y 是 真 的 ， 同 样 需要 给 出 X 的 证 明 。 
3. 已 知 上 面 两 个 证 明 ， 可 以 从 中 v 风 为 真 推出 X 为 真 ， 因 为 上 面 的 分 析 是 全 面 的 。 


因此 ， 我 们 把 规则 v e BH: 
ove ix] lx ve 
x 


也 就 是 说 : WR oyy 是 真 的 ,不管 假 设 By, RIIAT LAX 的 证 明 ， 即 多 是 成 立 
Bo FEAH pyg aqy p 的 有 效 性 证 明 。 














1 PY 前 提 
2 P 假设 
3 qyp- vi, 2 
4 q 假设 
5 qyp vi 4 
6 qyp vel,2-3,4-5 
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下 面 是 应 用 v e 规则 需要 记 住 的 一 些 要 点 。 

。 首先 必须 明确 两 种 情形 的 结论 (规则 中 XX) 实 际 上 是 同一 公式 。 

。 两 种 情形 的 推理 由 v e 规则 结合 起 来 。 

。 两 种 情形 都 不 能 使 用 其 他 情形 中 的 临时 假设 ， 除 非 那些 情形 的 矩形 框 已 经 被 证 明了 。 

。 第 6 行 中 的 规则 v e 的 理由 包含 三 点 : 出 现在 第 1 行 的 析 取 和 两 种 情形 的 两 个 矩形 框 的 位 置 行 2 ~3 

以 及 行 4~5)。 

如 果 在 推理 中 只 使 用 oyy 作为 假设 或 前 提 ， 那 么 将 丢失 某 些 信息 : CH OMY, (AA 
知道 哪 一 个 成 立 。 这 样 ， 我 们 得 到 两 种 可 能 性 由 或 少 ; 这 种 情况 类 似 于 大 多 数 程序 语言 中 的 
CASE 或 IF 语句 的 行为 。 

例 1.16 说 明 上 述 要 点 的 一 个 更 复杂 的 例子 。 证 明 矢 列 9 一 上 rF pv qp vr 的 有 效 性 。 





gr 前 提 ` 
pvq 假设 
Pp 假设 
pyr vi3 


Ve2,3-4,5-7 
pPYg 一 PYr 一 12-8 
注意 4、7、8 行 中 的 命题 是 相同 的 ， 因 此 ，v e 的 应 用 是 合法 的 。 
下 面 举 几 个 运用 规则 v e, vi, vi 的 例子 。 
例 1.17 证 明 矢 列 (p vg)vrF- pv(g vr) 的 有 效 性 很 长 ， 似 乎 也 很 复杂 。 但 这 是 我 们 
所 期 望 的 ， 因为 消去 规则 把 (pv 9) “了 分 解 为 基本 成 分 P， q 和 r， 再 由 引 和 人 规则 建构 公式 





© oo AND MA mb 一 


PY(qVr)o 














1 (PY q) vr 前 提 
2 (PY9) ”假设 
3 P 假设 
4 pv(qvr) vi,3 
5 
6 
7 
8 
9 





qyr 
pv(qvr) V i, 10 
12 pv(lgvr7) vel1,2-8,9-11 
例 1.18 在 布尔 代数 或 电路 理论 中 知道 ， 析 取 对 合 取 满足 分 配 律 。 现在 可 以 证 明 在 自 
然 演 绎 中 也 是 成 立 的 。 证 明 如 下 : 
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1 p^la yr) 前 提 

2 p l ^el 

3 q ^r ^el 

4 q 假设 | 
5 prq Ai2,4 

6 | (pq) V(pAr) vi, 5 

7 r 假设 | 
8 p^r Ai2,7 

9 (phg) V(pAr) Vv i, 8 

10 (pq) V(pAr) Vv e 3,4-6,7-9 


WERF pal Ar) (pA g)Y (PAT) WARE, FFA BUEN RE” (p 一 g)v(p 人 7)F 
PA^A(qYr) 的 有 效 性 。 

最 后 需要 引 和 的 规则 是 为 了 使 我 们 能 用 前 面 证 明 中 已 经 出 现 的 公式 来 结束 一 个 矩形 框 而 
需要 的 。 考 虑 矢 列 F plp KWARE, HERMT: 













1 Pp 假设 

2 q 假设 

3 P 复制 ! 
4 q—p 一 12-3 





5 p> (q->p) >il-4 

“复制 "(copy) 规 则 允许 我 们 重复 使 用 已 知 的 公式 。 在 这 个 例子 中 我 们 需要 使 用 这 个 规则 ， 
因为 规则 一 i 要 求 在 内 框 中 以 p 结束 。 复 制 规则 允许 我 们 复制 前 面 出 现 过 的 公式 ， 除 非 这 些 
公式 依赖 于 已 经 关闭 的 矩形 框 的 临时 假设 。 尽 管 有 些 不 完美 ， 但 是 这 个 附加 的 规则 值得 我 们 
在 不 只 一 次 使 用 前 提 或 其 他 任何 “可 视 ” 公 式 的 自由 性 上 付出 一 个 小 的 代价 。 

否定 规则 ”我 们 已 经 看 到 规则 一 一 i 和 -~ e,， 但 是 还 没有 见 过 任何 只 有 一 个 否定 的 引入 
和 消去 规则 。 这 些 规则 涉及 了 矛盾 ( contradiction ) 概念 。 这 样 儿 圈子 是 需要 的 ， 因 为 论证 是 关 
于 推理 的 ， 因 此 要 保持 真 值 。 这 样 ， 不 能 在 给 出 om, HREH oo 

定义 1.19 矛盾 是 形 如 中 ^ 一 由 或 由 ^ 由 的 表达 式 ， 其 中 几 是 任意 公式 。 

RENAE AF AU ras, (poq)Ar(poq), URC y sq) A(r Vv sq). FE 
是 逻辑 中 非常 重要 的 概念 。 就 我 们 关心 的 真 值 而 言 ， 它 们 都 是 等 价 的 ， 即 我 们 能 证 明 下 面 公式 

“(rv s—+q) A(rv s—+q) At (p—q) A7(p—q) (1-2) 

的 有 效 性 ， 因 为 公式 两 边 都 是 矛盾 。 在 介绍 否定 规则 以 后 可 以 证 明 这 个 公式 。 公 式 上 代表 矛盾 。 

事实 上 ， 了 矛盾 不 仅 能 推出 矛盾 ， 矛 盾 还 可 以 推导 出 任何 公式 。 这 一 点 最 初 令 人 困惑 ， 例 
如 ， 为 什么 我 们 要 接受 论断 p ^ 一 pg 呢 ? 其 中 

PAR HRA TRAM. 
q: BCA BH BY LE BE 

考虑 到 我 们 对 比萨 的 口味 与 构成 月 亮 的 物质 没有 关系 。 表 面 上 看 ， 这 种 接受 似乎 很 可 笑 。 然 
而 ， 自 然 演绎 有 此 性 质 ， 即 矛盾 能 推导 出 任何 公式 ， 所 以 ， 上 述 论断 是 有 效 的 。 原 因 是 ， 如 
果 前 提 是 了 矛盾 的 ， 我 们 不 关心 前 提 是 什么 ， 那么 从 这 个 矛盾 前 提出 发 ,上 可 以 得 出 任何 我 们 
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想 要 的 结论 。 这 至 少 有 下 列 优点 : 上 可 以 与 后 面 正式 解释 的 基于 语义 直觉 的 真 值 表 相 匹配 : 
如 果 所 有 前 提 计 算 都 是 " 真 ”， 那 么 结论 也 必须 计算 是 “ 真 "” 。 特 别 地 ， 这 不 是 前 提 之 一 (总 ) 
是 假 的 情形 的 一 个 约束 。 

事实 上 ， 由 底 -消去 (bottom-elimination ) 证 明 规 则 ，- 上 上 (矛盾 ) 可 以 证 明 论证 中 的 任何 编 
BAX: 


























a Le 
中 
上 本 身 表 示 由 非 -消去 (not-elimination ) 证 明 规 则 编码 的 一 个 矛盾 : 
| btn. 
$1.20 应 用 这 些 规 则 证 明 一 pv qt pg 是 有 效 的 ， 

1 Pvg 

2 op 前 提 q 前 提 

3 假设 P 假设 

4 7e3,2 q 复制 2 

5 ited p—g —>i3-4 

6 pq — 13-5 

pq ve1,2-6 


注意 这 个 例子 中 ，v e 的 证 明和 矩形 框 放 在 左右 两 侧 ， 而 不 是 上 下 。 采 用 哪 种 方式 无 关 紧 要 。 
为 什么 要 引入 否定 呢 ? 想 像 某 种 事务 矛盾 状态 的 假设 ， 即 上 的 假设 。 那 么 这 个 假设 不 能 
是 真 的 ， 因 此 它 必须 是 假 的 。 这 种 直觉 就 是 证 明 规则 ~ i 的 基础 : 


L 


= a 


一 


例 1.21 实际 运用 这 些 规 则 ， 证明 矢 列 pq, paq Hop HAMM: 
















1 pg 前 提 

2 pg 前 提 

3 

4 

5 

6 

7 =p 71,3-6 
3~6 行 包含 了 规则 ii 的 全 部 信息 。 下 面 是 第 二 个 例子 ， 使 用 矛盾 公式 作为 唯一 的 前 提 ， 证 
HRS p> pHo p 的 有 效 性 : 

1 pp 前 提 

2 P 假设 

3 `p 一 el,2 

4 L 7e2,3 

5 sp = 4,2-4 
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例 1. 22 不 使 用 规则 MT, HRF po(qor), p, “rEg 的 有 效 性 : 











1 p—(q-r) 前 提 

2 P 前 提 

3 一 了 前 提 

4 

5 

6 

7 

8 =q 714-7 

H 1.23 RRNA MERE progr, “r, pr g 的 例 1.1 和 例 1.2 的 论证 ， 
其 有 效 性 证 明 为 : 

1 PP Am9g 一 7 前 提 

2 or 前 提 

3 P 前 提 

4 假设 

5 Ai3,4 
6 一 el,5 
7 ~e6,2 
8 anq 544-7 
9 q “oneg 

1.2.2 派生 规则 


在 描述 反 证 规则 (MT) 时 ， 我 们 提 到 这 个 规则 不 是 自然 演绎 的 原始 规则 ， 可 以 从 一 些 其 
他 规则 中 推导 出 来 。 下 面 是 对 规则 


的 推导 ， 由 规则 一 e， 一 e 以 及 一 i: 








va A U Ne 


6 一 由 一 i3-5 
现在 把 这 一 章 中 用 规则 MT 的 证 明 用 规则 一 e，m e 以 及 一 i 来 蔡 换 。 但 是 ， 用 MT 这 个 
简写 符号 更 方便 。 
同样 ， 规 则 
中 
=ne 
也 成 立 。 它 可 以 从 规则 一 ii Moea, HEME: 








16 第 1 章 





中 前 提 
了 由 假设 


L 、 mel, 2 

| a7 6 342.3 a 

我 们 能 写 出 许多 (没有 限制 ) 这 样 的 派生 规则 。 然 而 ， 没 必要 把 问题 变 得 庞大 而 不 实用 ， 一 些 
完美 主义 者 认为 应 该 把 规则 约 东 为 最 小 集合 ， 使 规则 之 间 彼 此 独立 。 这 里 不 采取 这 种 完美 主义 的 
观点 。 下 面 要 介绍 的 两 个 派生 规则 确实 非常 有 用 。 可 以 发 现 ， 在 自然 演绎 的 习题 里 经 常 使 用 它 
们 ， 因 此 ， 值 得 给 它们 取 名 为 派生 规则 。 对 第 二 个 规则 ， 从 初始 证 明 规 则 得 到 它 的 推导 不 是 很 明显 。 

第 一 个 规则 有 拉丁 名 reductio ad absurdum, & X Æ “ XK JR Bl HEB” (reduction to 
absurdity) ， 我 们 简称 为 反 证 法 (proof by contradiction, PBC), HAMA: WEH- b eH 
出 矛盾 ， 那 么 就 可 以 判断 由 成立: 





kW Ne 





“o 
L 
PBC 


这 个 规则 看 起 来 与 -i 类似， 除了 否定 出 现在 不 同 的 位 置 。 这 是 从 基本 的 证 明 规则 出 发 
得 到 PBC 的 线索 。 假 设 我 们 有 一 个 从 ”由 到 上 的 证 明 ， 由 一 i， 可 以 把 这 个 证 明 转 化 为 ~ 由 一 
二 的 一 个 证 明 ， 过 程 如 下 : 





1 一 由 一 上 已 知 

2 =e 假设 

3 L —>el,2 
4 一 一 由 一 i2-3 

5 中 a7 e4 


这 说 明 PBC ALi, ~ni, se 和 一 一 e 推导 。 . 

这 一 节 考 虑 的 最 后 一 个 派生 规则 是 证 明 中 最 有 用 的 规则 ， 由 于 它 的 推导 非常 长 并 且 复 
杂 ， 因 此 它 的 使 用 往往 可 以 节约 时 间 和 努力 。 其 拉丁 语 名 是 tertium non datur， 即 排 中 律 (law 
of excluded middle，LEM) 。 简 单 地 说 ， 就 是 由 v 一 少 是 真 的 : 不 管 由 是 什么 ， 它 一 定 是 真 的 
或 者 是 假 的 。 当 中 是 假 时 ，” 由 是 真 的 。 没 有 第 三 种 情况 (因此 称 为 排 中 律 ) ; RIE OVO 
中 是 有 效 的 。 它 的 有 效 性 是 隐 含 的 ， 例 如 ， 我 们 在 程序 语言 中 写 if 语句 : if B {C} else 
| C:} 依赖 8 v 一 B 为 真 这 个 事实 (B 和 一 8B 永远 不 会 同时 为 真 )。 下 面 是 自然 演绎 中 从 基本 的 
证 明 规 则 推出 排 中 律 的 一 个 证 明 : 





“(6 v7) 





下 vv” 中) “il-7 
中 一 由 一 一 eg8 


O OTN nH PP WH 一 





ME 


17 





1.24 使 用 LEM, WŒ po gto py qg RAH: 


前 提 
LEM 


假设 


vi, 3 








vi, 6 





1 pg 
2 “PYP 
3 `p 

4 7PY4 
5 

6 

7 7py4q 
8 “pyq 


V e2,3-4,5-7 


在 证 明 中 使 用 哪 种 情形 的 LEM 有 利于 证 明 是 很 难 确 定 的 。 你 能 用 9 yop 作为 LEM 重 做 上 


面 例子 吗 ? 
1.2.3 自然 演绎 总 结 


自然 演绎 证 明 规则 总 结 在 图 1-2 中 。 到 目前 为 止 ， 我 们 对 规则 的 解释 都 是 判断 式 的 ; 我 
们 用 关于 逻辑 联结 词 的 认识 来 表示 每 一 个 规则 并 且 判 断 它 。 但 是 ， 在 尝试 使 用 这 些 规则 时 ， 
会 发 现 你 正在 寻找 一 个 更 程序 化 的 解释 ; 规则 的 含义 是 什么 以 及 如 何 使 用 它 。 例 如 : 
。 ^i 表示: 为 了 证 明 由 ^ 艾 ， 必 须 首先 分 别 证 明 办 和 然后 运用 规则 人 i。 
。^e RA: 为 了 证 明 由， 党 试 证 明 由 人 多 ， 然 后 运用 规则 ^ el 。 这 上 听 起 来 不 像 一 个 很 好 的 建议 ， 因 
为 证 明 由 人 乡 可 能 比 单独 证 明 由 更 困难 。 然 而 ， 你 会 发 现 由 人 消 已 经 成 立 ， 此 时 这 个 规则 是 有 用 


的 。 比 较 例 1. 15。 


。 vi 表示: 为 了 证 明 OV Y, RAE 6. MKH, 证 明 由 也 比 证 明 vy 困难 ， 因 此， 同样 只 
有 在 证 明了 由 时 ， 这 个 规则 才 比 较 有 用 。 例 如 ， 我 们 要 证 明 + p v g， 不 能 简单 地 使 用 规则 v i， 


但 是 可 以 使 用 规则 v i,。 


。 ve。 有 一 个 非常 完美 的 程序 化 的 解释 。 它 表示 : 如 果 已 经 知道 办 Y 汞 ， 要 证 明 某 个 YX， 那么 试 着 依次 
由 中 和 沙 证 明 X( 当然 在 那些 子 证 明 中 ， 可 以 使 用 其 他 有 效 前 提 ) 。 

。 KM, i 表示: MRE doy, REA 由 (以 及 其 他 有 效 前 提 ) HREH yo 

。 一 i 表示 : ATEH p, M $( 以 及 其 他 有 效 前 提 ) 出 发 证 明 .| 。 

















自然 演绎 的 基本 规则 : 
引入 消去 
由 yr, bay bay 
^ bry’ r 
: 上 
由 4 ove |x; |x 
Y ove" pvp“? X ve 
f 
> yw ; b boy 
oy 4 ° 


图 1-2 命题 逻辑 的 自然 演绎 规则 
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引入 消去 

A 

1 

Lẹ , I `’ 
L (上 没有 引入 规则 ) te 

一 些 有 用 的 派生 规则 
=$ 
L 
PBC LEM 
中 gb Va 
图 1-2 ( 续 ) 


在 证 明 的 任何 阶段 都 可 以 打开 和 气 形 框 ， 选 择 一 个 证 明 规 则 作为 假设 来 引入 任何 公式 。 正 
如 我 们 看 到 的 ， 自 然 演绎 使 用 和 矩形 框 控 制 假设 的 范围 。 当 引入 一 个 假设 时 ， 一 个 和 矩形 框 被 打 
开 。 根 据 具体 的 证 明 规则 模式 关闭 矩形 框 来 释放 假设 。 通 过 打开 和 矩形 框 做 假设 是 非常 有 用 


的 。 但 是 ， 根 据 证 明 规则 的 模式 ， 一 定 不 要 忘记 关闭 这 些 虐 形 框 。 
现在 ， 我 们 实际 上 如 何 构建 一 个 证 明 ? 


给 定 一 个 矢 列 式 ， 首 先 把 前 提 写 在 顶部 ， 结 论 写 在 底部 。 然 后 试 着 填充 空白 部 分 ， 同 时 


考虑 前 提 ( 推 出 结论 ) 和 结论 (设法 反 推 到 前 提 ) 。 
首先 看 结论 。 如 果 结 论 是 形式 8， 那么 应 用 ?规则 一 i。 即 夯 个 矩形 框 ，9 在 框 的 顶 
部 , 少 在 框 的 底部 。 因 此 ， 原 来 的 证 明 形 式 如 下 : 


前 提 
oy 
现在 的 形式 是 : 
前 提 
中 假设 
Y 
oy >i 


O ”除去 情形 p 一 (4 一 一 r) ，p 上 9 一 一 r， 此 时 使 用 -*e 可 得 到 一 个 更 简单 的 证 明 。 
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你 仍然 需要 填 上 由 和 小 之 间 的 空 阶 。 但 现在 你 有 一 个 额外 的 公式 可 以 使 用 ， 从 而 化 简 
了 你 要 到 达 的 结论 。 

TER MM -i 与 一 是 相似 的 ， 对 你 的 证 明 有 同样 的 效果 。 它 提供 了 一 个 增加 的 前 提 并 
简化 结论 。 

在 证 明 的 任何 阶段 ， 几 种 规则 都 可 以 应 用 。 在 应 用 任何 规则 之 前 ， 列 出 可 以 应 用 的 规 
则 ， 并 考虑 哪个 规则 可 能 对 证 明 有 利 。 我 们 发 现 ” i 与 一 1 是 最 常 使 用 的 ， 可 以 改进 证 明 。 
因此 ， 有 可 能 总 是 使 用 它们 。 没 有 简单 的 方法 判断 何 时 使 用 其 他 规则 ; 通常 你 必须 做 出 明智 
的 选择 。 
1.2.4 2ReHh 


定义 1.25 Roy EHAEBHALA., RN o My 2 RF H ( provably 
equivalent) 的 ， 当 且 仅 当 矢 列 式 pH y Myr 中 都 是 有 效 的 ; MAUNA p HREH y, RS 
亦 然 。 正 如 前 面 看 到 的 ， 我们 用 pey 表示 eA y 是 逻辑 等 价 的 。 

注意 ， 由 评注 1. 12 知 ， 前 面 定义 的 由 4b p RE RII (bb) (pd) BAR; 
它 定义 了 同样 的 概念 。 一 些 逻 辑 等 价 公 式 的 例子 如 下 : 


-7(p^g) He9vnmPp -7(pYg) -9qA^>mP 
D 一 4 二 9 一 p>qik-pyq 
pPAq—>podkrvar PAq—->rodkp— (qr) 


读者 应 该 能 够 用 自然 演绎 逻辑 来 证 明 这 六 个 等 价 式 。 
1.2.5 侧记 : 反 证 法 


有 时 我 们 不 能 直接 利用 已 知 的 假设 和 推理 方法 给 出 证 明 。 的 确 ， 总 结 图 1-2 中 的 自然 演 
绎 系统 ， 我 们 可 以 使 用 间接 证 明 : 例如 ， 规 则 


2 
lad 


中 
允许 我 们 通过 从 一 中 出 发 推出 矛盾 来 证 明 由 。 尽 管 “经 典 逻 辑 学 家 ”主张 其 有 效 性 ， 但 另 一 类 
所 谓 的 “直觉 主义 逻辑 学 家 ”认为 : 为 了 证 明 $5， 必须 直接 证 明 ， 而 不 能 只 是 证 明 - 是 不 可 
能 的 。 经 典 逻辑 学 家 与 直觉 主 义 逻 辑 学 家 在 另外 两 个 规则 上 的 观点 也 不 一 致 ， 
zog LEM 2 

直觉 主义 逻辑 学 家 认为 ， 要 证 明 OV 6, DRE 或 者 -~ 由 。 如 果 二 者 都 不 能 被 证 
明 ， 那 么 析 取 的 真 值 就 不 能 确定 。 直 党 主义 者 拒绝 接受 -一 e， 因 为 我 们 已 经 使 用 这 个 规则 
从 直觉 主义 者 所 接受 的 规则 来 证 明 LEM 和 PBC。 在 习题 中 ， 要 求 你 说 明 为 什么 直觉 主义 逻 
辑 学 家 也 拒绝 PBC, 

我 们 看 一 个 涉及 实数 的 证 明 来 说 明 这 种 区 别 。 实 数 是 形 如 23. 547 21 这 样 的 浮 点 数 ， 其 
中 只 有 一 些 是 形 如 23. 138 592 748 500 123 950 734… 这 样 的 无 限 长 的 非 循环 小 数 。 

给 一 个 正 实数 a 和 一 个 自然 数 5， 可 以 计算 a: a 自 乘 次， 因此 ，22 =2 .2 =4，23 -= 
2 2 2=8 等 等 。 当 1 为 实数 时 ， 也 能 定义 WF, Sa Hl, WEIS AM k/n( 此 处 


PBC 
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n#0), Daria, $b ERR y =x 的 实数 y。 由 实 分 析 ， 我 们 知道 任何 实数 5 都 可 


以 由 有 理 数 序列 到 jms ， 后 jz ，… 来 逼近 。 那 么 ,我们 定义 a 是 由 数列 an, at, -HRE 
的 实数 (在 微 积分 中 ， 可 以 证 明 这 个 “极限 "o* 是 唯一 的 ， 并 且 独 立 于 逼近 序列 的 选择 ) 。 此 
外 ， 如 果 一 个 实数 不 能 写成 /n 的 形式 ， 称 为 无 理 数 ， 其 中 和 n BBR, n0, ÆJ 


题 中 ， 要 求 你 半 形 式 地 给 出 V2 是 无 理 数 的 证 明 。 

现在 ， 我 们 以 数学 家 使 用 的 非 形式 化 风格 给 出 关于 实数 的 事实 证 明 ( 可 以 用 第 2 章 提出 
的 逻辑 ， 将 其 形式 化 为 自然 演绎 的 证 明 ) 。 我 们 要 证 明 的 事实 是 : 

定理 1.26 存在 无 理 数 a 和 bb， 使 得 a 是 有 理 数 。 

证 明 选择 5 为 /2， 通 过 对 各 种 情形 的 分 析 来 证 明 b* 是 无 理 数 ， 或 者 不 是 。( 于 是 ， 我 
们 的 证 明 是 对 LEM 的 实例 使 用 v e。) 

OORE 是 有 理 数 。 那 么 这 个 证 明 很 容易 ， 因 为 可 以 选择 无 理 数 a Hb 都 为 /7， 这 时 a REO, TH 
已 经 假定 六 是 有 理 数 。 

Gi) 假设 b 是 无 理 数 。 那 么 稍微 改变 一 下 策略 ， 选 择 a B/D", RI, AE i) 的 假设 ，a 是 无 
理 数 。 但 我 们 知道 b 是 无 理 数 (这 在 古 希 腊 时 期 就 知道 ;见习 题 中 的 证 明 要 点 )。 因 此 ，a 和 都 是 无 理 数 ， 
并 且 运 用 定律 (x?)* =x0'?， 

a’ = AE =F" = (2)? = 2 
是 有 理 数 。 

因为 上 面 两 种 情形 无 遗漏 (& 或 者 是 无 理 数 ， 或 者 不 是 ) ， 故 证 明了 定理 。 口 

这 个 证 明 完 全 是 合理 的 ， 而 且 数学 家 们 一 直 在 使 用 这 样 的 论证 。 上 面 分 情形 分 析 的 无 遗 
WERKE TF LEM 规则 的 使 用 ， 在 证 明 中 我 们 用 到 或 者 5* 是 有 理 数 ， 或 者 不 是 。 这 一 点 还 
有 一 些 令 人 困惑 的 地 方 。 确 实 我 们 已 经 证 明了 存在 无 理 数 a Hb, Ea 是 有 理 数 这 个 事实 ， 
但 我 们 能 实际 地 给 出 满足 这 个 定理 的 数 对 吗 ? 更 精确 地 说 ， 满 足 上 面 定 理 断 言 的 数 对 
(a, 5) 是 (V2, V2), 还 是 (V2 “，V2)? 证 明 并 没有 告诉 我 们 它们 中 的 哪 一 个 是 正确 的 选 
择 ; 只 是 说 它们 中 至 少 有 一 个 满足 定理 。 

这 样 ， 直 觉 主义 者 乐于 接受 图 1-2 中 给 出 的 引入 和 消去 规则 ， 而 拒绝 接受 规则 -~ eM 
派生 规则 。 直 觉 主义 逻辑 在 计算 机 科学 中 有 一 些 特殊 的 应 用 ， 比 如 对 编译 器 或 程序 代码 的 阶 
段 执行 中 用 到 的 类 型 推断 系统 进行 建 模 。 但 在 本 书 中 ， 我 们 坚持 包含 所 有 规则 的 、 完 整 的 所 
谓 经 典 逻辑 。 


1.3 作为 形式 语言 的 命题 逻辑 


前 一 节 学 习 了 原子 命 顾 以 及 用 原子 命题 构建 更 复杂 的 逻辑 公式 的 方法 。 引 入 的 方式 是 非 
形式 的 ， 因 为 我 们 的 主要 目的 是 理解 自然 演绎 规则 的 精确 机 理 。 但 是 ， 应 该 清楚 给 出 的 规则 
对 能 形成 的 任何 公式 都 是 有 效 的 ， 只 要 它们 与 相应 规则 所 要 求 的 模式 相 匹配 。 例 如 ， 在 下 面 
的 证 明 中 ， 应 用 证 明 规 则 一 e: 


1 pq 前 提 
2 Pp 前 提 
3 q —+e1,2 


WREE pH pyr RE, g Arp 代替 ,证 明 同 样 是 有 效 的 : 
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1 pv.rr—+ (rp) 前 提 
2 pyor 前 提 
3 r—>p —+e1,2 


这 就 是 为 什么 我 们 用 代表 一 般 公 式 的 希腊 符号 表示 这 样 的 规则 。 然 而 ， 现 在 应 该 是 把 
“能 构造 任何 公式 "用 精确 符号 表示 的 时 候 了 。 因 为 要 介绍 各 种 逻辑 在 式 (1-3) 中 引入 形式 化 
的 公式 的 方便 表示 。 一 般 ， 我 们 需要 没有 数量 限制 的 原子 命题 p，g，r，…， 或 者 pl，p,， 
Ps ，…， 请 不 必 为 需要 无 限 多 个 这 样 的 符号 而 担心 。 尽 管 成 功 地 描述 一 个 计算 机 程序 只 需要 
有 限 多 的 命题 ， 但 有 无 限 多 个 这 样 的 符号 可 供 选择 是 很 便宜 的 方式 。 这 可 以 与 实际 上 存在 无 
限 多 的 自然 语言 相 比较 : 语法 正确 的 英语 句子 有 无 限 多 个 ， 但 无 论 如 何 ( 写 一 本 书 、 聆 听 一 
次 演说 、 听 收音 机 、 赴 一 个 晚餐 约会 ) ， 我 们 都 只 用 到 有 限 多 个 这 样 的 句子 。 

命题 逻辑 中 的 公式 一 定 是 字母 表 {p, a, r, | Ul, pss Ps, lUI, A, y, >, 
〈,)}1 上 的 符号 串 。 仅 这 种 描述 还 不 够 ， 例 如 ，(”)()v pg 一 是 上 述 字母 表 上 的 符号 串 ， 但 
是 就 我 们 目前 所 关心 的 命题 逻辑 来 说 ， 它 没有 什么 意义 。 因 此 ， 必 须 严格 定义 我 们 称 之 为 公 
式 的 那些 符号 串 ， 这 样 的 公式 为 合式 的 (well-formed) 。 

定义 1.27 命题 逻辑 的 合式 公式 是 旦 仅 是 那些 有 限 次 使 用 下 列 构造 规则 所 得 到 的 符 
SR; 

原子 : 每 个 命题 原子 p，g，,，r，… 和 p;，p;，p3，… 是 合式 公式 。 

~: 如 果 中 是 合式 公式 ,那么 (一 由 ) 也 是 合式 公式 。 

^: 如 果 中 和 少 是 合式 公式 ， 那 么 由 ^ 东 也 是 合式 公式 。 

vV: 如 果 中 和 乡 是 合式 公式 ,那么 由 v 几 也 是 合式 公式 。 

一 : UR OMY 是 合式 公式 ， 那么 $yW 也 是 合式 公式 。 

认识 到 这 个 定义 是 计算 机 所 期 待 的 这 一 点 很 关键 ， 而 且 我 们 没有 使 用 前 -一 节 所 约定 的 绑 
定 优先 级 。 

约定 ”本 节 中 ， 我 们 像 一 台 严 格 的 计算 机 一 样 行动 ， 我 们 称 公式 是 合式 当 且 仅 当 它们 可 
以 由 上 面 的 定义 得 到 。 

此 外 ， 注 意 上 面 定 义 中 的 条 件 “ 只 有 那些 *”， 排 除了 用 其 他 方法 建立 合式 公式 的 可 能 性 。 
上 述 定义 命题 逻辑 合式 公式 的 归纳 定义 经 常 以 定义 语法 的 Backus Naur 范式 (BNF) 的 形式 给 
出 。 使 用 这 种 形式 ， 上 面 的 定义 可 以 更 紧凑 地 写 为 ; 

和 := pl (7) 1 (624)! (6V 6) 1 (gp— e) (1-3) 

其 中 p 代表 任意 原子 命题 ，::= 右边 的 由 的 每 一 次 出 现 都 表示 任何 已 经 构造 好 的 公式 。 
那么 ， 如 何 证 明 一 个 符号 串 是 一 个 合式 公式 呢 ? 例如 ， 对 以 下 形式 的 由 ， 回 答 是 什么 ? 
(Cp) 49) > (pA(qv(—>1r)))) (1-4) 
式 (1-3) 的 语法 满足 北 推 原理 (inversion principle), EXP MIMI REWER HL, BUR 
推 过 程 构建 公式 : 尽管 语法 规则 可 以 使 用 五 种 不 同 的 方法 来 构造 更 复杂 的 公式 (1-3) 中 的 五 
个 子 旬 一 一 总 是 有 上 面 使 用 的 唯一 子 句 。 对 于 上 面 的 公式 ， 最 后 一 个 运算 是 第 五 个 子 名 的- 
个 应 用 。4# 是 一 个 蕴涵 ， 其 假设 是 (一 p) ^g， 结 论 是 (p ^(qg v( 一 +r) ))。 对 假设 运用 道 推 原 
理 ， 该 式 是 (一 p) 和 9 的 合 取 。 前 者 因为 式 (1-3) 中 的 第 一 个 子 句 p 是 合式 ,第 二 个 子 句 说 明 
(一 p) 是 合式 。 因 为 同样 的 原因 ， 后 者 是 合式 。 类 似 地 ， 将 逆 推 原理 运用 到 结论 (p ^(g v 

(一 7) ))， 的 确 它 也 是 合式 。 总 之 ， 公 式 (1-4) 是 合式 。 

对 人 类 来 说 ， 处 理 括号 是 很 枯燥 的 事情 。 我 们 需要 括号 的 原因 是 公式 确实 有 一 个 树 状 结 
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构 ， 尽 管 我 们 喜欢 用 线性 方式 表示 它们 。 图 1-3 是 合式 公式 (1-4)g 的 语法 分 析 树 。 注 意 ， 
在 这 个 语法 分 析 树 里 不 需要 括号 ， 因 为 这 棵 树 的 路 和 分 支 结构 在 解释 由 时 没有 任何 含糊 。 
当 用 一 个 线性 串 表 示 由 时 ， 对 树 的 分 支 结 构 通 过 (>) 

使 用 括号 就 可 以 表示 一 个 合式 公式 。 

那么 ， 怎 样 证 明 符 号 少 不 是 合式 昵 ?9 DAH 
来 ， 需 要 一 些 技巧 ， 因 为 我 们 必须 确定 yw 不 能 由 (A) (A) 
任何 构造 规则 序列 得 到 。 让 我 们 看 上 面 的 公式 
(OV pg 一 。 这 可 以 很 容易 地 通过 观察 来 确定 。 

ASB OV pg 一 包含 -) ， 而 ”不 能 是 一 个 合 

式 公 式 的 最 右边 符号 (检查 所 有 的 规则 来 证 明 这 个 Q © 2 © 
论断 ) ; 但 我 们 只 有 把 “)” 放 到 某 个 合式 公式 的 右 

边 才 有 意义 (再 次 检查 所 有 规则 ， 看 这 一 点 是 正确 (P) @) © 
HY). RÆ, (O) OY pg 一 不 是 合式 公式 。 

也 许 证 明 一 个 公式 是 否 是 合式 公式 的 最 简 

单方 法 就 是 尝试 画 出 语法 分 析 树 。 用 这 个 方法 可 ©) 
以 证 明 公式 (1-4) 是 合式 。 在 图 1-3 中 ， 表 示 公 式 M13 表示 一 个 合式 公式 的 语法 分 析 树 
语法 分 析 树 的 根 是 一 ， 在 树 的 最 顶部 是 一 个 蕴涵 。 
使 用 蕴涵 的 语法 规则 ， 证 明 这 个 根 结 点 的 左 、 右 子 树 是 合式 。 在 这 里 ， 我 们 从 上 到 下 进行 
检查 ， 该 公式 是 合式 公式 。 注 意 ， 一 个 合式 公式 的 语法 分 析 树 的 根 或 者 是 原子 作为 根 ( 此 
时 这 是 树 的 全 部 ) ， 或 者 根 是 ~，Y，^， 或 一 。 在 一 的 情况 下 ， 只 有 一 棵 从 根 出 来 的 子 
树 。 在 v ，^ 或 一 的 情况 下 ， 一 定 有 两 标 子 树 ， 每 一 哥 子 树 必 须 是 合式 ; 这 是 归纳 定义 的 
另 一 个 例子 。 

用 树 的 形式 思考 ， 可 以 帮助 我 们 理解 逻辑 中 的 概念 ， 例 如 子 公式 (subformula ) 的 概念 。 
已 知 上 面 定义 的 合式 公式 ， 它 的 子 公 式 是 图 1-3 中 相应 于 语法 分 析 树 的 子 树 。 因 此 ， 我 们 
可 以 列 出 树 的 所 有 叶子 P、9( 出 现 两 次 ) 和 r。 那 么 (一 p) 和 
C7 Pp) AQEOHAFTM, T(r), (ayr BR Cpa 
(9vY(n”r)))) 在 一 的 右 子 树 。 整 棵 树 也 是 它 本 身 的 子 树 。 所 
以 ， 可 以 列 出 由 的 全 部 九 个 子 公 式 为 ， 

P 

q 

(7p) 

((7p) Aq) 

(>r) 

(qv(-77r)) 

((p A(qv(>1r)))) 

(((7p) 49) + (pa(gv(>7r)))) 

让 我 们 考虑 图 1-4 的 树 ， 为 什么 它 表示 一 个 合式 公式 呢 ? 图 1.4 eM, R oR, 
它 的 所 有 叶子 都 是 命题 原子 (p 两 次 ，g 和 r) ， 所 有 分 支 结 点 都 其 作为 逻辑 公式 的 

. 是 逻辑 连接 词 ( 一 两 次 ，^，v 和 r), 并 且 对 于 所 有 情况 ， 子 树 线性 表示 
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的 数量 也 是 对 的 (一 个 -~ 结 点 有 一 棵 子 树 ， 其 他 非 叶子 结 点 有 两 棵 子 树 ) 。 怎 样 得 到 这 个 公式 
的 线性 表示 呢 ? 如 果 我 们 忽略 括号 ， 那么 ,得 到 的 恰好 是 这 棵 树 的 以 中 序 (in-order) 表示 的 
合式 公式 ?。 这 个 合式 公式 是 (( 了 (pv(q 一 (一 p))))^r。 

但 是 图 1-21 并 不 代表 一 个 合式 公式 ， 原 因 有 两 个 。 第 一 ， 结 点 一 的 左 子 树 的 叶子 (类 似 
的 论证 可 以 应 用 到 叶子 一 ) 不 是 一 个 原子 命题 。 这 还 不 是 最 重要 的 ， 如 果 我 们 愿意 ， 可 以 把 
结 点 的 左 、 右 子 树 去 掉 。 但 是 第 二 个 原因 是 致命 的 。p 结 点 不 是 一 个 叶子 ， 它 有 一 棵 子 树 ， 
即 结 点 一 。 如 果 把 整 棵 树 看 成 一 个 逻辑 公式 ， 它 是 没有 意义 的 。 因 此 ， 这 棵 树 不 能 表示 一 个 
合式 公式 。 


1.4 命题 远 辑 的 语义 
1.4.1 逻辑 连接 词 的 含义 
在 本 章 的 第 二 节 ， 我 们 发 展 了 证 明 矢 列 p, da s >, 上 - 有 效 的 一 种 推理 演算 ， 即 


从 前 提 61, bas ，…， 中 ， 可 以 得 到 结论 %。 
在 本 节 中 ， 我 们 给 出 前 提 由 ha e, p, 和 结论 y 之 间 关 系 的 另 一 种 描述 。 为 了 与 上 
面 的 矢 列 进 行 对 比 ， 我 们 定义 一 个 新 的 关系 ， 记 为 : 
中 ,由 6, Fy 


这 种 描述 基于 前 提 和 结论 中 的 原子 公式 的 “ 真 值 ”， 以 及 逻辑 连接 词 如 何 影 响 这 些 真 值 。_ 一 
个 判断 语句 如 语句 (3) "每 个 >2 的 偶 自 然 数 是 两 个 素数 的 和 ”的 真 值 是 什么 ? 我 们 知道 ， 判 
断 语句 表示 真实 世界 ， 也 就 是 我 们 生活 的 物质 世界 ， 或 者 更 抽象 的 像 计 算 机 模型 ， 或 我 们 的 
思想 和 感情 的 一 个 事实 。 这 样 的 事实 陈述 或 者 真实 ( 真 的 (tme))， 或 者 不 真实 ( 假 的 
(false) ) 。 . 

如 果 把 判断 语句 p 和 9 用 逻辑 连接 词 ， 例 如 用 ^ 结 合 起 来 ,那么 P ^g 由 三 个 因素 来 确 
Æ: p 的 真 值 ，g 的 真 值 和 ^ 的 含义 。^ 的 含义 是 : 当 且 仅 当 P 和 g 都 为 真 则 PPA^9 是 真 的 ; 
否则 p ^ 9g 是 假 的 。 这 样 ， 正 像 ^ 所 关心 的 ， 只 需要 知道 p 和 9 是 否 为 真 ， 而 不 必 知 道 P 和 9 
实际 上 到 底 在 真实 世界 是 什么 。 其 他 的 逻辑 连接 词 也 是 一 样 ， 这 就 是 为 什么 我 们 可 以 通过 公 
式 中 的 原子 命题 的 真 值 来 计算 公式 真 值 的 原因 。 

定义 1.28 1. 真 值 集合 包含 T 和 下 两 个 元 素 ， 其 中 表示 “ 真 ”"， 下 表示“ 假 ”。 

2. 公式 由 的 一 个 赋值 或 模型 (valuation or model) 是 对 & 中 的 每 个 命题 原子 指派 一 个 
真 值 。 

例 1.29 将 T 指 派 给 g、F 指派 给 p 的 映射 是 p vq 
的 一 个 赋值 。 请 列 出 这 个 公式 的 其 他 三 个 赋值 。 

可 以 把 ^ 的 含义 看 成 两 个 变量 的 函数 ; 每 个 变量 是 一 
个 真 值 ， 结 果 又 是 一 个 真 值 。 把 这 个 函数 汇 成 一 个 表 ， 称 
为 合 取 真 值 表 ， 见 图 1-5。 第 一 列 标记 为 p, IHRE $ 
的 所 有 可 能 真 值 。 实 际 上 ， 列 出 这 些 真 值 两 次 ， 因 为 我 们 图 1-5 逻辑 连接 词 ^( 合 取 ) 
必须 考虑 另 一 个 公式 东 ， 因 此 ， 收 和 乡 的 真 值 的 所 有 可 能 的 真 值 表 








@ 将 树 平 放 为 列表 的 其 他 方法 还 有 前 序 法 (preordering) 和 后 序 法 (postordering) 。 进 一 步 的 细节 请 参考 任何 将 二 叉 
树 作为 数据 结构 论述 的 课本 。 
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组 合 数 为 2. 2 =4。 注 意 ， 前 两 列 和 的 四 对 真 值 遍历 了 所 有 可 能 性 (TT，TF,，FT 和 FF)。 
第 3 列 列 出 了 根据 p 和 yw 的 真 值得 到 的 OY 的 结果 。 因 此 ， 在 第 一 行 ,， > Ay RT, AR 
也 是 T。 在 其 他 行 ， 结 果 都 是 F， 因 为 命题 4 和光 至 少 有 一 个 取 值 下 。 

在 图 1-6 中 ， 可 以 看 到 所 有 命题 逻辑 连接 词 的 真 值 表 。 注 意 ，” 把 了 T 变 成 了 ， 反 之 亦 然 。 
如 果 交 换 T 和 了， 那么 析 取 是 合 取 的 镜像 ， 即 当 且 仅 当 二 者 都 是 焉 析 取 了 到了， 否则 ( = 至少 
有 一 个 取 T) 结 果 为 T。 蕴 涵 的 行为 不 是 那么 直观 。 当 检查 蕴涵 是 否 保持 真 值 时 ， 考 虑 一 的 
含义 。 显 然 我 们 有 : 当 TOF 时 不 保持 真 值 ， 因 为 从 某 种 真 值 推 出 假 的 情况 。 因 此 ， 在 小 一 
上 所 在 列 的 第 二 项 等 于 下 。 换 名 话说 ，T 一 T 显然 是 真 的 ， EX% FT, F>F 的 情形 结果 也 是 
真 的， 因为 第 一 个 位 置 ， 即 蕴涵 的 假设 是 假 的 ， 因 此 没有 什么 需要 保持 。 








图 1-6 目前 为 止 讨论 过 的 所 有 逻辑 连接 词 的 真 值 表 


如 果 你 觉得 一 的 语义 ( = 含义 ) 有 悖 常理 ， 那 么 就 我 们 关心 的 含义 而 言 ， 也 许 把 py 看 
成 是 公式 OVP 的 缩写 更 恰当 ; 这 两 个 公式 在 句法 上 是 完全 不 同 的 ， 自 然 演 绎 也 把 它们 看 
成 是 不 同 的 。 但 是 使 用 关于 ”和 v 的 真 值 表 ， 可 以 看 到 当 且 仅 当 - 由 Vy 是 真 的 oy ËR 
的 。 这 说 明 由 一 多 和 一 由 v 纱 是 语义 等 价 的 (semantically equivalent) , 更 多 的 讨论 在 
第 1.5 节 。 

给 一 个 含 命题 原子 p,，p,，…，p。 的 公式 由 ， 至 少 可 以 从 原理 上 构建 真 值 表 。 需 要 注意 
的 是 ， 真 值 表 有 2 行 ， 每 一 行 是 p,，p,，…，p, 真 值 的 一 个 可 能 组 合 。 当 是 一 个 很 大 的 
数 时 ， 这 项 工作 是 不 可 能 完成 的 。 我 们 的 目标 只 是 针对 不 是 很 大 的 n 值 ， 计 算 这 2 行 的 中 
的 真 值 。 例 如 图 1-3， 这 里 有 三 个 命题 原子 (n =3)， 因 此 要 考虑 2 =8 种 情况 。 

现在 说 明 怎样 计算 具体 的 例子 ,将 p 赋值 为 F，g 和 + 赋值 为 T。 那么， apr gp 和 
(a yor) RIERA? 我 们 的 语义 的 优美 之 处 在 于 它 是 合成 的 (compositional ) 。 如 果 知 道子 
公式 -=p^g 和 p^(g vr) 的 含义 ,那么 检查 真 值 表 中 一 的 相应 行 就 得 到 o WE, HX p 
是 这 两 个 子 公式 的 蕴涵 。 因 此 ， 可 以 通过 对 由 的 语法 分 析 树 做 自 底 向 上 的 遍历 得 出 计算 结 
果 。 对 原子 命题 P、9 和 7 进行 赋值 ， 也 就 是 对 叶子 进行 赋值 。 因 为 p 的 含义 是 T， 所 以 ~p 
是 F。 现 在 9 是 F， 而 了 和 F 的 合 取 是 F。 这 样 ， 结 点 一 的 左 子 树 赋 值 下 。 对 于 一 的 右 子 树 ， 
TREAT, MU WE, A KHELEF, FOF AF KRGE F, 得 到 结果 为 了 ， 再 计 
算 它 与 取 值 为 了 的 p 的 合 取 。 因 为 了 和 下 的 合 取 是 下 ， 即 一 的 右 子 树 的 含义 是 F。 最 后 ， 计 
算 由 的 含义 ， 计 算 F-*F， 得 到 T。 图 1-7 说 明了 在 给 定 上 面 p 、g 和 7 的 含义 时 ， 真 值 是 如 
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图 1-7 在 给 定 赋 值 下 一 个 逻辑 公式 的 求 什 


何 向 上 传递 到 根 ， 从 而 得 到 公式 由 的 真 值 。 

现在 很 清楚 怎样 建立 起 更 复杂 公式 的 真 值 表 。 图 1-8 是 公式 (pz 一 9) 一 (9vmp) 的 真 值 
表 。 为 了 更 加 精确 ， 前 两 列 列 出 已 和 4 的 所 有 可 能 组 合 值 。 随 后 两 列 计算 -p 和 一 g 的 相应 
值 。 使 用 这 四 列 ， 计 算 列 p 一 ”9 和 gv 一 p。 为 此 ， 把 第 一 列 和 第 四 列 作为 数据 ， 计 算 po 
~a 所 在 的 列 。 例 如 ， 在 第 一 行 , p 是 T，"g 是 F， 因 此 ， 由 一 的 含义 定义 ，p 一 ”4 的 值 是 
T>F =F。 用 这 种 方法 ， 可 以 填 上 第 五 列 中 其 他 的 空白 处 。 类 似 地 ， 可 以 计算 第 6 列 ， 这 时 
只 需要 把 第 2、3 列 作为 输入 计算 v。 
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图 1-8 更 复杂 逻辑 公式 真 值 表 的 例子 
最 后 把 一 的 真 值 表 应 用 到 第 5 列 和 第 6 列 ， 得 到 第 7 列 的 结果 。 
1.4.2 数学 归纳 法 


这 是 德国 数学 家 高 斯 八 岁 小 学 生 时 候 的 一 个 佚 事 。 因 为 他 在 课 上 注意 力 不 集 中 (你 能 想 
象 吗 ?) ， 结 果 他 的 老师 让 他 计算 从 1 到 100 的 自然 数 之 和 。 故 事 说 他 在 几 秒 中 就 给 出 了 正确 
答案 5050， 惹 怒 了 他 的 老师 。 高 斯 是 怎么 做 的 呢 ? 可 能 他 知道 对 所 有 的 自然 数 me 
n(n +1) 


14+2+34+44+--4¢n = 5 


(1-5) 


O 有 另外 一 种 方法 求 1+2+…+100 之 和 ， 即 反 过 来 求 100 +99 + … +1 之 和 。 将 这 两 个 和 相 加 ， 得 到 101 + 
101 +… +101(100 次 ) ， 得 到 10100。 因 为 我 们 是 对 该 和 自身 相 加 ， 所 以 除 以 2 得 到 答案 5050。 高 斯 可 能 使 用 
了 这 个 方法 ; 但 我 们 在 本 节 中 探讨 的 数学 归纳 法 有 更 强 的 功能 ， 也 可 适用 于 更 广泛 的 情形 。 
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因此 ， 取 n=100， 高 斯 可 以 很 容易 地 计算 : 
1 +243+4+... +100 = OK TOT = 5050 

数学 归纳 法 能 证 明 等 式 (1-5) 对 任意 的 = 成立。 更 一 般 地 ， 我 们 可 以 证 明 所 有 自然 数 都 
满足 某 种 性 质 。 假 设 有 某 种 我 们 认为 对 所 有 自然 数 成 立 的 性 质 M。 记 M(5 ) 为 性 质 对 5 是 真 
的 ， 等 等 。 假 设 对 于 性 质 M， 下 面 两 个 情形 成 立 : 

1， 基 本 情况 : 自然 数 1 有 性 质 M, MA MO) RER. 

2. ASM: 如 果 n 是 我 们 假设 有 性 质 W(n) 的 自然 数 ， 那 么 ， 可 以 证 明 n+l 有 性 质 MM(n+1); BD 
有 一 个 M(n)—> MM(n+1) 的 证 明 。 

定义 1.30 数学 归纳 原理 告诉 我 们 ， 基 于 上 面 这 两 个 信息 ， 每 个 自然 数 n 都 有 性 质 
M(n)。 归 纳 步 骤 中 的 假设 M(n) 称 为 归纳 假设 (induction hypothesis) 。 

为 什么 这 个 原理 成 立 ? 对 任意 自然 数 k， 如 果 上 等 于 1， 那么 由 基本 情况 ,，k 有 性 质 
M(1)， 因 此 成 立 。 否 则 ， 使 用 归纳 步骤 ， 取 n=1， 得 到 2 =1+1 有 性 质 M(2)。 因 为 我 们 
知道 问题 对 1 有 性 质 ， 运 用 规则 一 e， 得 到 2 有 性 质 。 使 用 同样 的 归纳 步骤 ， 取 m =2， 得 到 
3 有 性 质 M(3) ， 重 复 直 到 n =k( 见 图 1-9)。 因 此 ， 不 应 该 反对 关于 自然 数 的 数学 归纳 原理 
的 使 用 。 
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图 1-9 数学 归纳 法 工作 原理 。 只 需 证 明 两 个 事实 : M(1) ， 和 对 形式 (和 无 约束 的 ) 参 数 nn， 
M(n)—> 有 M(n+1)， 就 可 以 得 到 对 每 个 自然 数 k， 有 Mk) 


回 到 高 斯 的 例子 ,我 们 断言 对 所 有 自然 数 n，1 +2+3 +4+… + 之 和 等 于 n: 
(n+1)/2。 

定理 1.31 At HA ARAN, 14243444 +n ZRET n. (n+1)/2。 

证 明 运用 数学 归纳 法 。 为 了 表明 一 个 好 的 证 明 结 构 ， 用 LHS, 表示 表达 式 1 +2 +3+ 
4+… +n, RHS, 表示 n(n +1)/2。 这 样 ， 需 要 证 明 : 对 于 所 有 n=1, LHS, = RHS,。 

基本 情况 : 若 n=1， 则 LHS, 就 是 1( 只 有 一 个 被 加 数 ) ， 正 好 等 于 RHS, =1(1 +1)/2。 

FAM: 假设 LHS, = RHS,。 还 记得 这 个 假设 称 为 归纳 假设 ; 这 是 非常 强 的 假设 。 下 面 需要 证 
B LHS,,, = RHS,,, ， 即 更 长 的 和 1+2+3+4+…+(n+1) 等 于 (n+1)((n+1) +1)/2。 关键 的 观察 是 和 
1+2+3 +4+…+(n+1) 正 是 两 个 被 加 数 (1 +2+3+4+… +n) + (n+1) 的 和 ， 第 一 项 就 是 归纳 假设 的 和 。 
后 者 说 明 ，1 +2 +3 +4+… +n 等 于 n(n+1)/2， 在 推理 中 用 后 者 代替 这 一 项 。 这 样 ， 计 算 
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LHS ,=1+2+3+4+…+(n+l) 


n+l 


= LHS, + (n +1) 和 式 重 新 分 组 

= RHS, + (n +1) 由 归纳 假设 

= ne!) +(n+1) 

_a(n+1) 2(n+1) : 

= Mash Unt 算术 

_ (n+2)+(n+1) . 

s tD let 算术 

-tD tD MED 算术 

= RHS, 
AARC AREA TERRA RAR, PRIN, E E h E E E 
所 有 的 成 立 。 口 


实际 上 ， 这 个 原理 可 以 有 许多 变种 。 例 如 ， 可 以 把 初始 条 件 换 为 n =0， 即 命题 覆盖 所 
有 自然 数 ， 包 括 0。 有 些 命题 只 是 对 大 于 某 个 数 ， 比 如 说 3 的 自然 数 成 立 。 这 时 ， 初 始 情况 
应 改 为 =4， 但 归纳 步骤 不 变 (习题 中 有 这 样 例子 ) 。 数 学 归纳 法 中 关于 性 质 W(n) 的 使 用 
是 递归 定义 的 典型 使 用 (例如 对 S0, 妨 的 定义 ) 。1. 1 节 的 语句 (3) 指 出 一 个 可 能 为 真 的 性 
质 M(n)， 却 不 能 使 用 数学 归纳 法 。 

囊 值 归纳 (Course-of-value induction) 。 数 学 归纳 法 的 一 个 变化 是 关于 归纳 假设 的 ， 即 证 
明 M(n+1) 不 只 需要 MM(n)， 而 且 需 要 合 取 村 (1)^M(2)^…^M(n)。 称 这 种 变种 的 妇 纳 为 
串 值 归纳 ， 这 种 情况 根本 不 需要 验证 基本 情况 ， 所 有 的 工作 都 可 以 在 归纳 步骤 完成 。 

为 什么 这 种 情况 不 需要 验证 基本 情况 呢 原因 是 基本 情况 已 经 包含 在 归纳 步骤 中 了 。 考 
Bn =3 的 情形 ， 归 纳 步 又 要 求 M(1)^ M(2)4 M(3)—> M(4)。 现 在 考虑 n=1: RS 
例 是 M(1)—> M(2)。n =0 的 情况 昵 ? 此 时 ， 一 的 左边 有 零 个 公式 ， 因 此 ， 我 们 必须 从 一 无 
所 有 来 证 明 M(1) 。 归 纳 步 又 要 求 必须 证 明 M(1)。 你 会 发 现 对 囊 值 归纳 法 修改 图 1-9 是 非 
常 有 用 的 。 

已 经 说 过 ， 在 捉 值 归纳 法 中 ， 基 本 情况 没有 明确 提出 ,但 是 在 证 明 归纳 情形 时 这 一 点 还 
要 求 给 予 特别 的 注意 。 后 面 在 串 值 归纳 法 的 两 个 应 用 中 将 精确 地 看 到 这 一 点 。 

在 计算 机 科学 中 ， 经 常 要 处 理 某 种 有 限 结构 ， 例 如 ， 数 据 结 构 、 程 序 和 文件 等 。 我 们 经 
常 需要 证 明 这 个 结构 的 每 一 个 示例 。 例 如 ， 定 义 1. 27 的 合式 公式 有 这 样 的 性 质 : 在 一 个 特 
定 公式 中 括号 "(" 的 个 数 等 于 括号 <“) "的 个 数 。 我 们 可 以 使 用 关于 自然 数 域 的 数学 归纳 法 来 
证 明 这 一 点 。 为 此 ， 需 要 把 合式 公式 与 自然 数 联系 起 来 。 

定义 1.32 给 定 一 个 合式 公式 $， 定 义 它 的 高 度 为 1 加 上 它 的 语法 分 析 树 中 最 长 路 径 
的 长 度 。 

例如 ， 考 虑 图 1-3、 图 1-4 和 图 1-10 中 的 合式 公式 。 们 的 高 度 分 别 是 5、6 和 5。 在 图 1-3 
中 ,最 长 的 路 是 从 一 到 ^、 到 v、 到 一 、 青 到 +r， 路 的 长 度 为 4， 因 此 ， 高 度 为 4+1=5。 注 
意 ， 原 子 的 高 度 是 1 + 0 =1。 因 为 每 一 个 合式 公式 都 有 有 限 高 度 ， 我 们 可 以 对 合式 公式 的 高 
度 运用 数学 归纳 法 来 证 明 命题 。 这 种 技巧 常 称 为 结构 归纳 法 (structural induction) ， 这 是 计算 
机 科学 中 很 重要 的 推理 技术 。 使 用 语法 分 析 树 的 高 度 这 个 术语 ， 我 们 知道 ， 结 构 归 纳 法 是 串 











1-10 高 度 为 5 的 语法 分 析 树 


值 归纳 法 的 一 个 特例 。 

定理 1. 33 ”对 命题 远 辑 的 每 个 合式 公式 ， 左 括号 的 个 数 等 于 右 括 号 的 个 数 。 

证 明 对 合式 公式 $ 的 高 度 使 用 串 值 归 纳 法 。 令 M(n) 表 示 “ 所 有 高 度 为 n 的 公式 的 左 
括号 数 与 右 括号 数 相等 ”。 假 设 对 每 个 上 <n, MARE, BE MM(n) 成 立 。 设 公式 4 的 
高 度 为 n。 

。 基 本 情况 : n = 1。 即 由 是 命 是 原子。 因此， 没有 左 或 右 括号 ，0 等 于 0。 

。 串 值 归纳 步骤 : ”> 1， 对 于 合式 公式 由 由 的 语法 分 析 树 的 根 一 定 是 一 ， 一 ，v 或 ^。 假 设 根 是 一 ， 
另外 三 种 情况 的 讨论 类 似 。 那 么 中 是 ($ 一 >) ， 其 中 由 Mo, 是 合式 公式 (当然 ， 它 们 分 别 是 根 的 两 棵 子 
树 的 左 、 右 线性 表示 ) 。 很 清楚 ，g, 和 由 的 高 度 严格 小 于 n。 使 用 归纳 假设 ,我 们 得 到 $, 的 左 、 右 括号 数 
相等 ， 同 理 对 ,也 成 立 。 但 对 ($1 一 ) ， 我 们 增加 了 两 个 括号 “(” 和 “)”。 这 样 ， 中 中 出 现 的 “(” 和 “)” 
个 数 相同 。 口 

BK (p> (q 97 r) ) 说 明 为 什么 不 能 对 公式 的 高 度 用 数学 归纳 法 直接 证 明 上 面 的 结论 。 
这 个 公式 的 高 度 是 4, 它 的 两 棵 子 树 的 高 度 分 别 是 1 和 3。 这 样 ， 归 纳 假设 对 高 度 为 3 的 右 
子 树 成 立 ， 但 对 左 子 树 不 成 立 。 


1.4.3 命题 逻辑 的 合理 性 


自然 演绎 规则 可 以 严格 地 讨论 从 前 提 d, d s o, 出 发 得 到 结论 y 这样 的 问题 。 对 
这 种 情形 ， 我 们 说 矢 列 p, pas s p, 上 yw 是 有 效 的 。 

假设 有 p, d s, p, PHN, 是否 有 可 能 出 现 一 个 赋值 ， 尽 管 所 有 命题 Q, 
$ n, p ERK, My BRM? 非常 幸运 ， 这 种 情况 不 会 出 现 。 这 一 节 将 说 明 其 原因 。 
假设 在 自然 演绎 分 析 中 ， 有 一 个 关于 矢 列 $, d =, p, Fy BAM, RINSE 
明 : 对 于 所 有 命题 p, d ，…， 中 , 赋值 为 的 赋值 ，y 的 赋值 也 应 该 为 T。 

定义 1. 34 若 对 使 所 有 命题 p, da, s d, 都 赋值 为 T 的 一 切 赋值 ，y EREN T, 
则 说 

pisht, Fw 

成 立 ， 称 F 为 语义 推导 关系 (semantic entailment relation ) 。 

下 面 看 这 个 概念 的 一 些 例子 。 
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l. pAgEp 成立 吗 ? 我 们 必须 检查 P 和 4 的 所 有 真 值 赋值 ， 有 四 种 组 合 。 需 要 确定 当 PA^ 人 9 为 T 时 ，P 


也 是 真 的 。 而 仅 当 p 和 9g BAW, pAGAT, MAp qE p 成 立 。 
2. 关系 pV g 上 Fp 是 什么 ? 有 三 种 赋值 使 pv GAT, 因此， 要 求 这 三 种 情况 p 必须 为 真 。 但 是 ， 如 果 


TRER q, FRA pitt, p V g 为 T,p ÆR. RHR, pvVqaEp 不 成 立 。 

3. 如果 修 改 上 面 的 式 子 为 9，PYg4gFP， 结 果 如 何 ? 注意 ,我 们 只 需要 关心 当 一 g 和 p v g 赋值 为 T 
的 情况 。 这 要 求 4 是 假 ， 从 而 , p 一 定 是 真 的 。 因 此 ， 一 g,，p V gp 成 立 。 

4 注意， 尽管 F 的 右边 没有 出 现在 左边 的 原子 命题 ，pF 49 v 一 9 仍 成 立 。 

通过 上 面 的 讨论 ， 我们 认识 到 合理 性 论证 就 是 证 明 ; E p po °°, p, BARK, 
则 ¢,, $,，…， 中 。 Fy 成立。 

定理 1. 35 (合理 性 ) Ro, p o, 中, 和 小 是 命题 远 辑 公式 。 若 由 中， s DLE 
PRAK, NO, db, OEY RZ, 

证 明 因为 由， 由 ，…， 中 上 峭 是 有 效 的 ， 所 以 存在 一 个 由 前 提 由 d e 6, 得 到 
上 的 证 明 。 现 在 我 们 要 做 一 个 颇 为 精巧 的 工作 ， 即 对 这 个 证 明 的 长 度 使 用 数学 归纳 法 进行 推 
理 。 证 明 的 长 度 就 是 该 证 明 涉及 的 行 数 。 因 此 ， 必 须 明 确 要 证 明 什 么 。 要 对 自然 数 左 使 用 串 
值 归 纳 法 来 证 明 命题 W(E) : 















“对 证 明 长 度 为 天 的 所 有 和 拓 列 p, p2, 0, 6, Eo (ne0) RH, 中 ， 中 ，…， 中 ,上风 成 立 。” 
为 此 还 要 做 些 工 作 。 矢 列 P^ 9 一 rF p 一 (gr) 有 如 下 的 证 明 : 
1 prq->r 前 提 
2 P 假设 
3 q 假设 
4 p^g Ai2,3 
5 —>el,4 
6 q—>r 
. 7 p—>(q—>r) 一 12-6 
但 是 ， 如 果 去 掉 最 后 一 行 或 几 行 ,那么 ， 将 不 再 是 一 个 证 明 ， 因 为 最 外 面 的 矩形 不 是 封闭 
的 。 如 果 去 掉 最 后 一 行 以 及 将 最 外 面 矩形 框 的 假设 改写 为 前 提 ， 将 得 到 一 个 完全 的 证 明 








1 pAq-r 前 提 
2 P 前 提 

3 

4 

5 

6 q->r — 13-5 


ERI pA gr, pH gor 的 一 个 证 明 。 归 纳 假设 保证 p ^ gor, pE qor RZ. ARATE 
能 推出 p A gr E P 一 (9 一 r) 成 立 ， 为 什么 ? 
让 我 们 继续 进行 归纳 法 证 明 。 假 设 对 每 个 如 <k， 有 M(k')， 我 们 尝试 证 明 M(k), 
基本 情况 : 仅 有 一 行 的 证 明 。 若 证 明 的 长 度 为 1(# =1) ， 则 它 一 定 是 如 下 形式 的 ， 
i 1 中 前 提 
因为 所 有 其 他 的 规则 都 涉及 不 止 一 行 。 这 就 是 n=1，#, Me REF 由 的 情况 ， 即 我 们 所 讨论 
KRAE pE po HR, HA p 赋值 为 T， 故 $ 也 是 T。 于 是 ， 如 我 们 所 断言 的 那样 ， 由 F 由 。 
囊 值 归纳 步骤 : 假设 矢 列 由 ， 贝 ，…， 惫 上 消 的 证 明 长 度 是 上 ， 对 于 小 于 天 的 所 有 数 ， 
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证 明 的 命题 成 立 。 证 明 有 下 面 的 结构 : 


1 中 前 提 
2 由 前 提 
n b. 前 提 
k y 理由 


这 里 有 两 个 情况 我 们 不 知道 。 第 一 ， 在 圆 点 之 间 发 生 了 什么 ? 第 二 ， 最 后 应 用 的 规则 是 什 
么 ? 即 最 后 一 行 的 理由 是 什么 ? 第 一 个 不 确定 性 我 们 不 关心 ; 这 说 明 数 学 归纳 法 的 强大 功 
能 。 第 二 个 缺乏 的 知识 需要 讨论 。 一 般 地 ， 因 为 我 们 不 知道 最 后 应 用 了 什么 规则 ， 因 此 ， 需 
要 依次 讨论 各 种 规则 。 

1 很 设 最 后 规则 是 ^ i WA, p 应 该 是 p AY 形式 ， 第 行 的 理由 是 上 面 有 两 行 分 别 是 和 ,yw 
作为 它们 的 结论 。 假 设 这 两 行 是 Mk, Ak Mk NFL, 所 以 存在 两 个 长 度 小 于 天 的 矢 列 四， 


$2, 76, Ald, pa, 7, p, Fd, 的 证 明 ， 它 们 分 别 在 原来 证 明 的 前 &, 和 前 行 。 由 归纳 假设 ， 得 
到 中， 由，…， $, Fy Ap h is b, F p, 成 立 。 这 两 个 关系 也 能 推出 $i, pa, °°, 6, EP Aw, 
成 立 。 为 什么 ? 


2. 如 果 证 明 风 需要 使 用 规则 ve， 那 么 一 定 在 某 一 和 行 已 经 证 明了 、 假 设 或 已 知 把 某 个 公式 ， Yy 作 
ARH, FPR <k, 第 行 的 理由 是 Ve。 这样， 在 证 明 中 有 一 个 矢 列 O,, 6, --, 6,67, ym HER 
的 证 明 ， 这 个 证 明 是 通过 把 在 开 的 矩形 框 中 第 行 的 所 有 假设 作为 前 提 得 到 的 。 用 类 似 的 方法 ， 从 v 。 的 
情况 分 析 得 到 矢 列 d, da, bo MEY, bos ba mE. HAAR, BHR 
is zs s OE mY ms bir br, s Or, ME PAO, has s bo, MEY RMU. RERKRAB 


来 得 到 d, bd, 7, bE RR, WHA? 
3. 现在 你 可 以 猜 到 讨论 的 其 余部 分 就 是 依次 检查 可 能 的 证 明 规则 ， 最 终 证 明 自然 演绎 规则 在 语义 上 与 
真 值 表 求 值 一 致 。 我 们 把 细节 作为 练习 。 o 


命题 逻辑 的 合理 性 对 保证 一 个 给 定 矢 列 的 证 明 不 存在 是 非常 有 用 的 。 要 证 明 由 Q ，…， 
由 上 攻 是 有 效 的 ， 但 无 论 多 么 努力 都 没有 成 功 。 怎 么 判断 找 不 到 这 样 的 证 明 呢 ? 即使 有 这 
样 的 证 明 ， 可 能 你 也 找 不 到 。 这 相当 于 找 一 个 赋值 ， 使 得 oO, 的 赋值 为 T， 而 少 的 赋值 为 F。 
WA, RHFAEN, RA}, da o FY. HARE, HHO, 6, n 6, ob RE 
有 效 的 。 因 此 ， 这 个 矢 列 没有 证 明 。 你 可 以 在 习题 中 练习 这 个 方法 。 


1.4.4 命题 逻辑 的 完备 性 


在 这 一 小 节 ， 我 们 要 讲解 命题 逻辑 的 自然 演绎 规则 是 完备 的 : MAES, b, o, 
四 ,下沙 成 立 ， 都 存在 矢 列 四 ，g,，…， 四 ,上 -由 的 一 个 自然 演绎 证 明 。 结 合 前 一 小 节 的 合理 
ERR, RNE 

SAR $1,562,776, FyRI, ppp, Fy ERR 

这 使 你 可 以 自由 使 用 你 喜欢 的 方法 。 往 往 更 容易 证 明 这 两 种 关系 中 的 一 种 (尽管 这 两 种 
关系 中 没有 一 个 更 好 或 更 容易 证 明 ) 。 第 一 个 方法 需要 基于 逻辑 编程 (logic programming) 范例 
的 证 明 搜索 (proof search) ， 第 二 个 方法 典型 地 强制 计算 规模 是 出 现 的 命题 原子 个 数 的 指数 大 
小 的 真 值 表 。 这 两 种 方法 一 般 是 很 难处 理 的 ， 但 对 特殊 的 公式 例子 用 两 种 方法 处 理 难 易 程度 
经 常会 完全 不 同 。 
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这 一 节 的 其 余部 分 集中 讨论 如 果 6, do, s 6, Fb MIL, BAG, dr, a ow 
是 有 效 的。 假设 由, ，$,，…， 中 ,下 小 成立 ,讨论 分 三 步 进行 : 

步骤 1: EHRE pilpil l l Sh) ) ) 成 立 。 

步 又 2: 证 明 F 6,+( 6. (637 (-- (6, 9h) +) ) ) 是 有 效 的 。 

步骤 3: 最 后 ， 证 明 G, o e b, Ey RAR. 

第 一 和 第 三 步 是 很 容易 的 ， 真 正 要 做 的 工作 在 第 二 步 。 

步骤 1: 

定义 1. 36 一 个 命题 逻辑 公式 p 称 为 重 言 式 (tautology) ， 当 且 仅 当 在 它 的 各 种 赋值 情 
况 下 的 赋值 都 是 T， 即 当 且 仅 当 F ypo 

假设 b,, pa, , 6 Ee Rw, RNR 6, (6,>(6,7(-- (6,9) )) ) 确 实 是 
TERA. ANB -TORE-TREWNRE, MURA di, 6., --, p, BRANT, 
几 赋 值 为 了 时 ， 它 才 赋 值 F， 见 图 1-11 的 语法 分 析 树 。 但 这 与 $,， 中 ,，…， 中 , Eb RUF 
盾 。 于 是 ， E po pb)…)) ) 成 立 。 





图 1-11 这 个 语法 分 析 树 能 赋值 为 F 的 唯一 方式 。 用 三 角形 表示 o, h o, p, 的 语法 分 析 树 ， 
我 们 并 不 关心 它们 的 内 部 结构 


步骤 2: 

定理 1.37 若 上 FF 成 立 ， 则 上- 是 有 效 的 。 换 言 之 ,若是 重 言 式 ， 则 起 是 定理 。 

这 个 步骤 不 容易 证 明 。 假 设 F n 成 立 。 假 定 ”有 个 不 同 的 命题 原子 p, Pp, s Pro 
我 们 知道 ， 在 了 了 的 2" 行 的 真 值 表 中 , n 的 值 都 是 T。( 每 一 行列 出 7 的 一 个 赋值 。) 怎样 使 用 
这 个 信息 构造 一 个 关于 的 一 个 证 明 呢 ? 在 有 些 情况 下 ， 我 们 可 以 通过 观察 7 的 具体 结构 
很 容易 得 到 结论 。 但 这 里 必须 给 出 构建 这 样 一 个 证 明 的 统一 方法 。 关 键 的 方法 是 把 7 的 真 
值 表 的 每 一 行 “ 编 码 "成 一 个 矢 列 。 构 建 这 2" 个 矢 列 的 证 明 ， 合 成 一 个 ?的 证 明 。 

命题 1. 38 设 册 是 一 个 公式 ,使 得 p|，p,，…，p, 是 其 全 部 命题 原子 。 设 1 是 由 的 真 
值 表 中 的 一 个 任意 行 号 。 对 所 有 1<i<n， 若 p; 的 第 1 行 是 T， 则 令 厅 ¥Fp,, SMA, 等 
Fop MARANA: 

1， 若 由 的 第 1 行 是 T， 则 让 ,PP,，…， 户 上 四 是 可 证 的 
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2. SOMBIGAKF, MP, Pos s PUG ATED 

证 明 对 公式 $ 用 结构 归纳 法 进行 证 明 ， 即 对 由 的 语法 分 析 树 的 高 度 做 数学 归纳 法 。 

L 如 果 由 是 命题 原子 p， 需 要 证 明 P 上 p 和 一 上 一 p。 它 们 是 只 有 一 行 的 证 明 。. 

2. 如果 $ 的 形式 是 一 和 ， 那 么 还 需要 考虑 两 种 情况 。 首 先 ， 假 设 由 赋值 为 T。 此 时 p 赋值 为 了 。 注 意 


中 与 四 有 相同 的 原子 命题 。 对 d 运用 归纳 假设 ， 得 到 请 ， 户 ，…， 记 上 一 和 ， 而 二 4 就 是 6， 所 以 命题 
成 立 。 . i 

Hk, WR 由 赋值 为 了 ， 那 么 >, RIT, HAR, AP Po es Pb oo AMMO i， 扩展 证 
WP Pas > Pa 上 中 XP’ Po o Ps 上 一 一 只; 而 一 一 中 恰好 是 一 小 ， 所 以 命题 也 是 成 立 的 。 

其 余 的 情况 将 考虑 两 个 子 公式 : 由 等 于 由。 中， 其 中 。 是 一 、^ 或 v。 在 所 有 这 些 情 况 
H, REg, s q 是 p 的 命题 原子 ，r, ，… n 是 $, 的 命题 原子 。 那 么 一 定 有 19 ，…， 
alU frn, or, ai= {Poe me, s Palo Abe, Rg, e, gy, MA, e, AE p BA 
BK), TUAW A iR, PL, Po ot, PL A, 是 有 效 的 。 这 里 可 以 使 用 归纳 假设 ， 并 
且 得 到 关于 合 取 的 证 明 ， 这 使 得 我 们 可 以 证 明 当 情形 是 4 或 -四 时 ， 我 们 想 要 的 结论 成 立 。 

3. ATER, Bit 由 是 pd WE 中 赋值 为 F， 那 么 我 们 知道 由 REX T, 6, 赋值 为 F。 由 归纳 
BR, Ags e, aE Ma, om, FLO, BA, Py, Pay os Py Eb, A by. BEERA, h, =, 
Pa Hole); EDL, Ps oo, Pet bd) A ba, RE FUERA d, Am d ald), BH 
练习 。 

如 果 中 赋值 为 T， 那 么 有 三 种 情况 。 第 一 ， 如 果 $, Meo, 都 赋值 F， 那 么 ， 由 归纳 假设 ， a, = AE 
761 AIT, AET dio AE, By, Pes ts 及 上 一 和 和 一 加。 再 一 次 只 需要 证 明 矢 列 一 由 和 一 和 上 
boh BRKI W, ME 由 赋值 F，#, 赋值 T， 由 归纳 假设 ， 得 到 记 ， 房 ，…, p Ea Ago $ 
MER h, ^p F pdo BEEJ BE, WR o 和 g, 都 赋值 T， 使 用 归纳 假设 ， 得 到 请， 局，…， 
P 上 由 Ag, BEER d, Ad 上 由 一 加 ， 仍 然 留 做 练习 。 

4. 如 果 中 是 形式 oA 和 ， 需 要 讨论 四 种 情况 。 第 一 ， 如 果 由 和 $, 都 赋值 T， 由 归纳 假设 ， 得 到 个 ，…， 
Gibb, UB rb by, AUGHEMID,, 应 ，…, 六 上 和 Ad, RE HO, MRS, REF, d, RET, R 
么 ， 使 用 归纳 假设 以 及 如 上 规则 ^ i, BBP, P,P, 上 一 向 Adore BEER- 6, A 6, Falp A 
4) ， 留 做 练习 。 第 三 ， 如 果 由 和 和 赋值 了 ， 那 么 由 归纳 假设 以 及 规则 ^ i, AP, p, e, PEO}, A 
了 内。 因此 ， 习 题 中 需要 证 明 一 由 p, Fale Ap) W0, WEG 赋值 了 ，#, 赋值 了 F， 由 归纳 假设 ， 


得 到 p, , Po, very P, Fg Ad, 需要 证 明 中 ， 人 一 小 Fale A $i), 留 做 练习 。 
5. 最 后 ， 如 果 由 是 析 取 由 v do ， 又 有 四 种 情况 。 第 一 ， 如 果 由 Ho, 都 赋值 FE， 那 么 由 归纳 假设 和 规 


则 ^ i, BEI. Pry, 应 上 一 由 Ando AIER o, Amd Hal v $,)， 留 做 练习 。 第 二 ， 如 果 
由 和 由 BRET, WA, ERRERA, Pr es PaE 由 人 中 ,。 需 要 证 明 6, 46,446, Vda, N 
做 练习 。 第 三 ， 如 果 $, MEF, p RET, BARAER, AF, h e, 六 上 一 和 和 加， 需要 构 
Epad Fo VY 加， 留 做 练习 。 第 四 ， 如 果 So, MT, 6, 赋值 F， 那 么 由 归纳 假设 的 结果 ， 有 请 ， 
Pro, Pao, AW by, BIE 6, 476, Fo, Vd, BR 口 

将 这 个 方法 应 用 到 公式 F pilh (6, (+ (6, 90) )) Do 因为 它 是 一 个 重 言 式 ， 
故 它 的 真 值 表 的 2" 行 的 每 一 行 都 赋值 为 T。 这 样 ， 上 面 的 命题 给 了 2” PEFR, Pry ov, 
P, Hon RUE, XE ARYL, PÆ p aR po 现在 需要 把 所 有 的 证 明 合成 关于 了 7 的 单独 证 
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明 ， 而 没有 任何 前 提 。 用 重 言 式 p ^ 4 一 p 为 例 ， 来 说 明 怎样 处 理 该 问题 。 
公式 p ^g->p 有 两 个 命题 原子 p 和 4。 用 上 面 的 观点 ， 可 以 保证 下 面 四 个 矢 列 的 每 一 个 


都 有 一 个 证 明 : 


P, qFp^q>p 
“p, qF Fp^q—>p 
P, “qFĀFp^q>p 


“Pp, qh prq->p 
最 后 ， 通 过 把 上 面 矢 列 的 四 个 证 明 放 在 一 起 ,证 明 P ^ gp。 这 样 ， 我 们 取消 上 面 四 个 
矢 列 左边 的 前 提 。 这 需要 对 任意 的 *， 运 用 排 中 律 vv re。 对 所 有 的 命题 原子 (这 里 是 p 和 
q), (ER LEM， 然 后 通过 使 用 v e， 分 别 假设 所 有 的 四 种 情况 。 调用 上 面 矢 列 的 四 个 证 明 ， 
重复 使 用 规则 v e， 直 到 取消 所 有 前 提 。 我 们 把 这 四 个 过 程 用 图 表 结 合 起 来 。 























1 DY 一 了 LEM 
2. 假设 >p 假设 
3 LEM qv7q EM 
4 假设 4 假设 || 一 g 假设 
5 

6 

7 p^gq—p DA^ 人 9 一 pq->p 

8 P^q—>p ve pq—>p Ve 
9 P^qg>p ve 


只 要 能 明白 这 个 特殊 例子 是 怎样 构建 的 ， 就 能 认识 到 有 n 个 不 同 原子 的 任意 重 言 式 如 何 
构建 。 当 然 ， 用 这 么 长 的 篇 幅 来 证 明 p ^ q—p 很 荒唐 。 但 记 住 ， 它 给 出 了 构建 每 一 个 重 言 式 
n 证明 的 一 个 统一 方法 ， 不 管 它 有 多 复杂 。 

步骤 3: 最 后 ,需要 找 一 个 p pas s Q, Hy 的 证 明 。 采用 步骤 2 给 的 证 明 上 - 小 一 
($.>( 6,9 ( ++ (6, >) …) ) ) 和 证明 将 中 | ， 中 ， =, Q, 作为 前 提 。 对 每 一 个 前 提 ( 从 中 
开始 ， 接 着 $8, ， 等 等 ) 应 用 n Ke. REBUKE y, ARAI Pi, hz, 0, p F yÉ 
证 明 。 

推论 1. 39 (合理 性 和 完备 性 ) Bp, pa, s Q, YREMERAA, MA, HB 
RS bi, h , OY RAR, hi, ob), s bo, FURS, 


1.5 范式 


上 一 节 证 明了 命题 逻辑 证 明 系 统 对 图 1-6 的 公式 真 值 表 语义 是 合理 的 和 完备 的 。 合理 性 
是 指 ， 基 于 真 值 表 语 义 ， 无 论 我 们 证 明 什么 ， 它 都 将 是 一 个 真实 的 事实 。 在 习题 里 ， 应 用 这 
个 结论 证 明 一 个 矢 列 没 有 一 个 证 明 : 简单 地 证 明 由 da, o, p: 不 能 从 语义 上 推出 区; BB 
么 合理 性 意味 着 矢 列 $, ，$，,，…，g, bY 没有 证 明 。 完 备 性 具有 更 强 的 表述 ， 只 要 矢 列 语 
义 上 是 有 效 的， 那么 自然 演绎 证 明 中 都 会 有 一 个 句法 上 的 证 明 。 这 使 得 我 们 可 以 在 证 明 符号 
《上 ) 和 语义 推导 (F) 上 自由 替换 。 

使 用 自然 演绎 确定 上 -的 示例 有 效 性 只 是 许多 可 能 性 的 一 种 。 在 习题 1.2.6 中 要 求 绘 出 一 
个 非 线性 的 ， 树 状 的 矢 列 的 证 明 概念 。 通 过 直接 应 用 定义 1. 34 检查 上 的 一 个 示例 ， 只 是 确 
定 四 ，g$,，…， 中 ,FF 光 是 否 成 立 的 许多 方法 之 一 。 现 在 来 探讨 确定 pi, has s, 6, Fy mR 





34 RLF 





立 的 各 种 方法 ， 这 些 方法 基于 语义 上 转化 这 些 公式 为 “等 价 的 公式， 然后 在 纯粹 语义 或 算 
法 含义 上 讨论 这 个 问题 。 这 首先 需要 彻底 并 清楚 等 价 公式 的 确切 含义 。 


1.5.1 语义 等 价 、 满 足 性 和 有 效 性 


我 们 说 公式 由 和 乡 是 等 价 的 ， 如 果 它 们 有 同样 的 “含义 ”。 这 种 说 法 是 模糊 的 ， 需 要 精 
Mo WW, pa 与 ~p Yq 有 同样 的 真 值 表 ; 对 p 和 9g 的 T 和 F 的 所 有 四 种 组 合 ， 二 者 都 
得 到 同样 的 结果 。“ 真 值 表 一 致 ” 不 足以 说 明 我 们 的 想法 ， 公 式 p ^ gp 与 rvmr 的 关系 如 
何 ? 初 看 起 来 ， 它 们 没有 什么 共同 点 ， 有 不 同 的 原子 公式 和 不 同 的 联结 词 。 并 且 p ^ q—p 的 
真 值 表 有 四 行 ， 而 rv 一 r 只 有 两 行 。 但 是 ， 两 个 公式 都 是 真 的 。 这 要 求 我 们 通过 FF 定义 公式 
MY HSE: 如 果 中 语义 上 推出 峭 ， 并 且 反 之 亦 然 ， 那 么 这 两 个 公式 就 我 们 所 关心 的 真 
值 表 而 言 是 一 样 的 。 

定义 1.40 RE OMY 是 命题 逻辑 公式 。 我 们 说 和 小 是 语义 等 价 的 (semantically 
equivalent) 当 且 仅 当 中 上 乡 与 儿 F 由 成 立 。 记 为 由 = 峭 。 进 一 步 ， 如 果 F 由 成 立 ， 我 们 称 由 是 
有 效 的 。 

注意 ， 也 可 以 定义 四 =y 是 指 FE($ 一 Vy)^(y 一 和 ) 成 立 ; 这 个 定义 与 上 面 的 定义 是 一 致 
的 。 确 实 ， 由 于 合理 性 和 完备 性 ， 语 义 等 价 与 逻辑 等 价 (provably equivalent) 是 一 致 的 (定义 
1.25)。 等 价 公式 的 例子 是 

p>q=7q->—p 

Pq "pYg 
PAqwrp=rvrr 
PpP^g r=p > (qr) 

我 们 知道 ， 如 果 F n 成 立 ， 那 么 称 公式 9 是 重 言 式 ， 因 此 ， 重 言 式 实际 就 是 有 效 公式 。 
下 面 的 引 理 说 明 任何 重 言 式 的 判断 过 程 实际 也 是 矢 列 有 效 性 的 判断 过 程 。 


引 理 1. 41 已 知 命题 逻辑 的 公式 h, 中 ，…， >, Fy, %BARYE 由 一 (中 一 (由 一 … 
一 (由 ,一 峭 ) ) ) 成 立 ， $i; 中 ， my 中 ,下沙 成 立 。 
证 阴 首先 假设 上 中 一 (由 一 (由 一 … 一 (四 ,一 少 ) ) ) 成立 。 如 果 中 ， 中 ， aon p, 在 某 


个 赋值 下 为 真 ， 那么 y 在 同样 的 赋值 下 也 为 真 。 否 则 ,FF 由 一 (和 一 (由 一 … (9,.—y))) 
将 不 成 立 (与 图 1-11 相 比 ) HK, WME p, po es OE 成立， 由 完备 性 证 明 的 第 1 步 
知道 F 由 一 (各 一 (由 一 … +( 6,9) ) ) 成 立 。 口 

为 此 ， 我 们 把 公式 转化 为 完全 不 包含 一 的 形式 ， 并 且 ^ 和 v 出 现在 不 同 的 层次 中 ， 这 样 
有 效 性 检查 很 容易 。 可 以 通过 以 下 方法 实现 : 

1. 使 用 等 价 d-~= dV y 替换 公式 中 出 现 的 所 有 一 。 

2. 通过 详细 说 明 一 个 算法 将 没有 一 的 公式 变 成 一 个 范式 (normal form) (还 是 没有 一) ， 这 使 得 有 效 性 的 
检验 很 容易 。 

自然 地 ， 我 们 必须 说 明 哪 种 公式 形式 是 “规范 的 ”(normal) 。 并 且 ， 有 许多 这 样 的 概念 ， 
这 一 节 里 ， 我 们 只 学 习 两 种 重要 的 形式 。 

定义 1.42 文字 工 或 者 是 原子 P， 或 者 是 原子 的 和 否定- p。 公 式 C 如 果 是 若干 子 句 的 合 
取 ， 则 是 一 个 合 取 范 式 (conjunctive normal form, CNF), 而 每 个 子 句 D 是 文字 的 析 取 
Li: = pl ap 
D::= LI LvVD (1-6) 
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C::= DIDAC 
合 取 范式 的 示例 公式 是 : 
(i)(7 qv pvr) A(7pyr) Aq (ii) (pvr) A(> pyr) A(pyvorr) 

在 第 一 个 例子 里 ， 有 三 个 类 型 D 的 子 句 : -gvpYr,， ”mpPYr 和 和 9， 由 式 (1-6) 中 第 一 条 子 名 
规则 ， 它 是 只 有 一 个 文字 的 子 句 。 注 意 ， 我 们 很 清楚 使 用 ^ 和 v 的 结合 律 ， 即 $Y(y v 7) = 
(OVP) Vy MACH) =(bAb) 4.7, BHABST-#HBS. BH(-(avp)vrya 
(qv r) 不 是 CNF， 因 为 gq vp 不 是 一 个 文字 。 

为 什么 希望 公式 中 是 CNF 形式 呢 ? 其 中 一 个 原因 是 很 容易 检验 它们 的 有 效 性 ， 否 则 需 
要 检查 公式 中 原子 个 数 的 指数 次 。 例 如 ， 考 虑 上 面 CNF 形式 的 公式 : (gaypyr)a OpY 
r)^9g。 因 为 ， 由 ^ 的 语义 ， 语 义 推 导 F(”q4YpvYrA^(”pPvYr)^d 成 立 当 且 仅 当 所 有 的 三 个 
RR: 

E7qvVpyvr EF 7pyvr Fg 

成 立 。 但 是 因为 这 些 公 式 是 文字 的 析 取 或 文字 ， 我 们 有 下 面 的 引 理 。 

引 理 1. 43 文字 的 析 取 LVL yey La 是 有 效 的 当 且 仅 当 存在 1<i, jam, ALA 
= Lo 

证 明 WRL SOL, ABA, WFR RA, L y L,Y…v La RET Pl, pv qv 
rV7 q( 永远 不 是 假 的 。 

为 了 说 明 反 之 也 成 立 ， 假 设 没 有 文字 工 ,在 L,Y 工 v…v LI, 中 有 一 个 匹配 的 否定 。 那 么 
对 于 每 一 个 k，1 <k<n， 如 果 L, 是 原子 ,那么 把 F 指派 给 L,; WEL 是 原子 的 否定 ， 把 T 
指派 给 Lo Wi, WAHR F A pAr, TT 指派 给 g， 析 取 一 g vp vr 是 假 的 。 oO 

因此 ， 如 果 中 是 CNF 的 ， 有 一 个 非常 容易 的 快速 判断 F 由 有 效 性 的 方法 ; 检查 $ 的 所 
Athy, FR y 中 是 否 有 这 样 的 原子 ， 即 它们 的 否定 也 在 yp, 中 。 如 果 所 有 的 析 取 都 能 
找到 这 样 的 匹配 ， 那 么 , 我们 有 上 8。 否则 由 上 面 的 引 理 ，g 不 是 有 效 的。 这 样 ， 公 式 
(TqgYpYr)^( 一 pvr)^g 不 是 有 效 的 。 注 意 ,， 在 同样 的 合 取 项 由 , 中 ， 匹 配 的 文字 必须 找 
到 。 因 为 世界 上 没有 免费 的 午餐 ， 对 一 个 给 定 的 公式 5， 如 果 要 计算 它 的 具有 CNF 形式 的 
等 价 公式 几 ， 其 计算 代价 是 非常 高 的 。 

在 学 习 怎 样 计 算 等 价 合 取 范 式 之 前 ， 介 绍 与 有 效 性 密切 相关 的 另外 一 个 概念 。 

定义 1.44 已 知 一 个 命题 逻辑 公式 $， 如 果 有 一 个 赋值 使 它 的 赋值 为 T， 那 么 称 OH 
可 满足 的 (satisfiable) 。 

BM, AK p v gp 是 可 满足 的 ， 因 为 假设 把 了 指派 给 p， 它 的 赋值 为 T。 明 显 地 ，p v 
4 一 不 是 有 效 的 。 这 样 ， 可 满足 性 是 一 个 更 弱 的 概念 ， 因 为 由 定义 ， 每 一 个 有 效 公 式 是 可 
满足 的 ， 但 反之 不 然 。 然 而 ， 这 两 个 概念 正 是 彼此 的 镜像 ， 而 镜子 就 是 否定 。 

命题 1.45 ”假设 中 是 命题 远 辑 公式 。 那 么 由 是 可 满足 的 当 且 仅 当 一 由 不 是 有 效 的 。 

证 明 首先 ， 假 设 由 是 可 满足 的 。 由 定义 ， 存 在 一 个 由 的 赋值 ， 使 得 RT; E 
一 中 对 同样 的 赋值 为 FF。 这 样 ，” 中 不 是 有 效 的 。 

HK, BR 中 不 是 有 效 的 。 那 么 一 定 有 一 个 由 HRA, HBC RRA, BR, 
由 赋值 为 T， 即 由 是 可 满足 的 。( 注 意 ， 由 的 赋值 恰好 是 一 由 的 赋值 。) 口 

这 个 结论 是 非常 有 用 的 ， 因 为 本 质 上 只 需要 提供 关于 这 两 个 概念 的 一 个 决策 程序 即 可 。 
例如 ， 我 们 说 有 一 个 判断 是 否 任何 的 由 是 有 效 的 程序 P。 通 过 询问 P: EB- 由 是 有 效 的 ， 
得 到 一 个 关于 可 满足 性 的 决策 程序 。 如 果 回 答 是 ,那么 $ 不 是 可 满足 的 ; 否则 由 是 可 满足 
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的 。 同 样 ， 我 们 可 以 把 关于 可 满足 性 的 决策 程序 转化 为 关于 有 效 性 的 决策 程序 。 本 书 我 们 将 
遇 到 这 两 种 程序 。 

除了 写 出 $ 的 完整 真 值 表 ， 没 有 真正 容易 的 计算 CNF 形式 的 等 价 公式 的 方法 。 例 如 ， 
考虑 图 1-8 中 公式 (p 一 了 gq) 一 (gv 一 p) 的 真 值 表 。 对 每 一 个 (p 一 一 g) 一 (g V7 p) RF 的 
行 构造 一 个 文字 的 析 取 。 因 为 这 样 的 行 只 有 一 行 ， 所 以 只 有 一 个 合 取 项 水 ,。 现 在 的 合 取 是 
一 个 文字 的 析 取 ， 包 括 文字 了 p 和 和 4g。 注意, 文字 恰好 是 真 值 表 中 那 一 行 句法 的 相反 : 这 里 p 
是 T，9 是 F。 这 样 ，CNF 形式 的 结果 公式 是 "P v4， 它 确实 是 CNF 形式 的 ， 并 且 等 价 于 
(p77 q)>(q vp). 

为 什么 对 任何 公式 $， 这 种 方法 都 是 可 行 的 呢 ? 因为 这 样 构造 的 公式 是 假 的 当 且 仅 当 至 
少 有 一 个 合 取 项 y, 是 假 的 。 这 表示 这 样 y, 的 所 有 析 取 都 是 F。 使 用 德 摩根 律 ， - 6, V7 
b Yey 和 = 一 (和 和 ^ 人 由 ^… 和 人 中)。 我 们 得 到 那些 文字 名 法 否定 的 析 取 一 定 是 真 的 。 这 
样 ，$ 和 新 构造 的 公式 有 同样 的 真 值 表 。 

考虑 另 一 个 例子 ， 的 真 值 表 为 : 








SP ym yee 4 alo 
i 
| 
本 


注意 ， 这 个 表 实际 上 是 $ 的 说 明 ; 它 并 没有 告诉 我 们 在 句法 上 b 是 什么 样子 ,但 它 告 诉 
我 们 它 的 “行为 "是 什么 。 因 为 真 值 表 有 四 项 赋值 为 FE， 我们 构建 四 个 合 取 项 (1 <i < 4)。 
从 表 中 得 到 几 ， 列 出 所 有 的 原子 析 取 ， 如 果 原 子 在 该 行 是 真 的 ， 则 否定 该 原子 ， 
tio pvogvr (第 2 行 ) ”yy, 举 p v=-gv-r( 第 5 行 ) 
Ws=pvrqvr 等 等 be =pVqvar 
因此 ，CNF 形式 的 由 为 : 
(TPpYTgYr) Apxynmgvnnrm A(py>qvr) A(pyqvar) 
如 果 我 们 不 知道 一 个 完全 的 真 值 表 ， 但 知道 $ 的 结构 ， 那 么 ， 我 们 能 够 计算 具有 CNF 
版 本 的 由。 很 清楚 ， 的 真 值 表 与 CNF 形式 的 等 价 公式 就 我 们 关心 的 有 效 性 而 言 ， 表 达 的 含 
” 义 完 全 相同 ， 尽 管 CNF 形式 的 公式 更 加 简洁 明了 。 


1.5.2 合 取 范 式 和 有 效 性 
我 们 能 够 快速 和 容易 地 对 合 取 范 式 进行 有 效 性 检验 。 因 此 ， 需 要 知道 是 否 任意 一 个 公式 
都 能 转化 为 CNF 形式 的 等 价 公 式 。 现 在 介绍 一 个 算法 。 注 意 ， 由 定义 1.40， 一 个 公式 是 有 


效 的 当 且 仅 当 它 的 等 价 公式 是 有 效 的 。 我 们 把 判断 任何 一 个 公式 由 是 有 效 的 问题 简化 为 它 
的 等 价 公式 少 = 由 的 计算 ， 其 中 少 是 CNF 形式 的 ， 由 引 理 1.43 ， 判 断 少 是 否 是 有 效 的 。 
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在 概述 这 个 程序 之 前 ， 需 要 对 它 的 可 能 性 和 它 的 现实 约束 有 一 个 一 般 的 解释 。 首 先 ， 可 

能 或 多 或 少 有 计算 这 样 范式 的 有 效 方法 。 但 即使 有 更 多 的 方法 可 能 有 许多 正确 的 输出 ， 对 

=$ 和 y= 由， 一 般 不 能 推出 pi 与 加 相同 ， 即 使 办 与 加 都 是 CNF RW. HM, oS 
p, p Ep, Md, =p rp’ qa); 那么 一 定 有 由 = 加 成 立 。 由 于 等 价 合 取 范 式 的 不 唯一 性 ， 
中 的 最 小 “成 本 ”( “成 本 "可 以 是 合 取 的 个 数 ， 或 $ 的 语法 分 析 树 的 高 度 等 ) 的 CNF 的 计算 成 
为 很 重要 的 实际 问题 ， 这 是 第 6 章 要 讨论 的 问题 。 这 里 ， 我 们 给 一 个 确定 性 (deterministie ) 
算法 ， 即 对 于 一 个 已 知 输入 中， 总 能 给 出 同样 输出 CNF。 

这 个 算法 称 为 CNFE， 应 该 满足 下 面 的 要 求 ， 

(1) 对 于 所 有 作为 输入 的 命题 逻辑 公式 ，CNF 可 以 终止 ; 

(2) 对 于 每 一 个 输入 ，CNF 输出 一 个 等 价 公式 ; 

(3) 所 有 由 CNF 计算 的 输出 都 是 CNF 形式 的 。 

如 果 一 个 命题 逻辑 公式 作为 输入 调用 CNF， 则 (1) 保 证 算法 能 终止 ， 由 (2)， 对 输出 上， 
确保 沙 =$8。 这 样 ，(3) 保 证 小 是 o 的 等 价 CNF。 因 此 ，g 是 有 效 的 当 且 仅 当 是 有 效 的 。 
后 者 的 检查 相对 于 的 长 度 是 容易 的 。 

CNF 应 该 采取 什么 策略 呢 ? 它 必须 对 所 有 即 无 穷 多 个 命题 逻辑 公式 是 正确 的 函数 。 这 
说 明 计 算 CNF 程序 应 该 是 对 公式 $ 结构 归纳 的 。 例 如 ， 如 果 由 是 形式 ^o, TWH 
中 (i=1，2) 的 合 取 范式 n, AL, n ^m 是 等 价 于 由 的 合 取 范 式 ， 假如 5,=$,(i=1，2)。 
这 个 策略 也 说 明 对 由 使 用 结构 归纳 证 明 CNF 满足 上 述 的 (1-3) 。 

给 定 一 个 输入 公式 由 ， 先 做 一 些 预 处 理 (preprocessing)。 首 先 将 $ PHABABR pon 
HARA y y nA. RAT eR IMPL_ FREE( 蕴涵 释放 ) 的 程序 得 到 。 注 意 ， 这 个 程 
序 必 须 是 递归 的 ， 因 为 少 或 了 9 也 可 能 是 列 涵 。 

IMPL_ FREE 的 应 用 可 能 给 出 的 输出 公式 是 双重 否定 。 更 重要 的 是 ， 否 定 的 范围 是 非 原 
子 公式 。 例 如 ， 公 式 p ^ 一 (p ^ gq) 否定 的 范围 是 p ^ 94。 问 题 的 本 质 是 能 和 否 有 效 地 从 小 的 
CNF 计算 一 由 的 CNF。 因 为 似乎 没有 人 知道 答案 ,通过 把 一 4 转化 为 只 包 含 原子 否定 的 等 价 

.公式 来 回避 这 个 问题 。 只 否定 原子 的 公式 称 为 否定 范式 (negation normal form，NNF)。 这 样 
的 程序 NNF 的 细节 后 面 讲 。IMPL_ FREE 过 程 的 主要 依据 是 德 摩根 律 。 因 此 ， 预 处 理 的 第 
二 个 阶段 ， 对 IMPL_ FREE 输出 调用 NNF， 得 到 一 个 NNF 形式 的 等 价 公式 。 

完成 了 所 有 预 处 理 之 后 ， 我 们 得 到 一 个 公式 $9'， 它 是 调用 NNF(IMPL_ FREE(¢ġ)) 4% 
果 。 注 意 ， 因 为 两 个 算法 都 把 公式 变 成 等 价 形式 ， 所 以 d' =o. HF oO PRA, HAL 
由 中 只 有 原子 是 否定 的 ， 因 此 程序 CNF 只 需要 分 析 三 种 情况 : 文字 、 合 取 和 析 取 。 

。 如 果 中 是 一 个 文字 ， 由 CNF 的 定义 ， 因 此 CNF 输出 $。 l 

。 如果 由 = 由 Ap, WHT p, HAMID CNF， 分 别 得 到 输出 n, BARRA o 的 作为 CNF 的 

输出 A mo 

。 如 果 由 =$，Y 中， 同样 对 每 个 由， 循环 的 调用 CNF， 分 别 得 到 输出 N:o 但 这 时 不 能 简单 地 返回 7，v 

?>， 因 为 这 个 公式 实际 上 不 是 CNF BAW, BSE n MH, 恰好 是 文字 。 

因此 ， 怎 样 完 成 上 面 最 后 情况 的 程序 呢 ? 我 们 可 以 使 用 分 配 律 ， 把 任何 合 取 的 析 取 变 成 
析 取 的 合 取 。 然 而 ， 这 个 结果 要 求 是 CNF 形式 的 ， 需 要 明确 ， 这 样 得 到 的 析 取 只 包含 文字 。 
我 们 应 用 一 个 策略 ， 该 策略 基于 在 p, v $, 中 的 匹配 模式 使 用 分 配 性 。 这 通过 称 为 DISTR 的 
独立 算法 来 完成 。 这 样 ， 对 输入 对 (”,，”, ) 调 用 DISTR ， 得 到 需要 的 结果 。 

假设 我 们 已 经 写 了 IMPL_ FREE, NNF 和 DISTR 的 代码 ， 现 在 可 以 写 CNF 的 伪 代 码 ， 
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function CNF ($): 
/* 前 置 条 件 :由 是 曹 涵 释 放 ,并 且 是 NNF 形式 * / 
/* 后 置 条 件 :CNF (6) HE p 的 等 价 CNE * / 
begin function 
case 
上 是 文字 :returng 
由 是 由 Ao, return CNF (h, ) 人 CNF (@,) 
$ Æ $, V $, return DISTR (CNF ($, ) CNF ($, )) 
end case 


end function 

TEM, DISTR 的 调用 是 怎样 计算 6, Ad, 的 合 取 范 式 的 。 例 程 DISTR 将 n, My, 作为 输 
人 和 参数， 并 且 分 析 这 些 输入 是 否 合 取 。 如 果 两 个 输入 公式 没有 一 个 是 合 取 ，DISTR 会 如 何 
呢 ? 因为 对 CNF 形式 的 输入 n M 调用 DISTR， 只 能 说 明 n An 是 文字 ， 或 文字 的 析 
取 。 这 样 ,， q Ym 是 CNF 形式 的 。 

否则 ，”, Ay, 中 至 少 有 一 个 公式 是 合 取 。 因 为 一 个 合 取 符合 简化 问题 ， 如 果 两 个 公式 
都 是 合 取 ， 必 须 确定 要 转化 哪 一 个 合 取 项 。 算 法 CNF 是 确定 性 的 ， 因 此 ， 假 设 具有 形式 
MA no: WAAD, A mY mM=CmY m) NY m) BAEK Mis NA n, 都 是 
CNF 形式 的 ， 可 以 再 次 对 公式 对 (7 5 72) FAC a» m) DISTR, 然后 简单 地 形成 它们 的 
合 取 。 这 是 对 函数 DISTR 的 主要 考虑 。 

当 m 是 合 取 时 ， 情 形 是 对 称 的 ， 循 环 调用 DISTR 的 结构 由 等 价 式 nv m= Cn Vay) A 
(m Yna) ME, EP m = na^ na: 


function DISTR (1:02): 
/* WEAR iy, 和 ?2 是 CNF 形式 * / 
后 置 条 件 :DISTR (9, 192) Bn, Vn, 的 CNF * / 
begin function 
Cage 
9, Æ N1 A ny, return DISTR (911 N2) A DISTR (9,2 +92) 
Na Æ Na A Naz :return DISTR (7, V m2,)A DISTR (N, V Naz) 
否则 ( = 没有 合 取 ) :return y, V 12 
end case 
end function 


注意 三 个 子 名 如何 讨 论 了 所 有 可 能 性 。 进 一 步 ， 如 果 n An, 都 是 合 取 ， 那 么 第 一 和 第 
二 种 情况 同时 进行 。 即 译 码 将 从 上 面子 句 检查 到 下 面子 句 。 这 样 ， 第 一 个 子 句 将 应 用 
DISTR, 

已 经 详细 说 明了 例 程 CNF 和 DISTR ， 接 下 来 需要 写 出 函数 IMPL_ FREE 和 NNF, 特别 
把 函数 IMPL_ FREE 作为 练习 。 函 数 NNF 必须 转化 任何 一 个 蕴涵 -释放 公式 为 一 个 等 价 的 否 
定 范式 。NNF 形式 的 四 个 公式 例子 是 ， 

P DP 
Tp^(p^g) -mp 人 ^(p— 9g) 

但 是 我 们 不 能 处 理 最 后 一 类 的 公式 ， 因 为 公式 中 有 -。 不 是 NNF 形式 的 公式 例子 是 -一 p 和 
mpPA^9)。 

另外 ， 通 过 对 输入 公式 由 的 结构 做 情况 分 析 递 归 编 写 NNF 程序 。 上 面 最 后 的 两 个 例子 暗 
示 这 些 子 名 的 两 个 可 能 结果 。 为 了 计算 -一 由 的 NNF， 只 需要 计算 $ 的 NNF， 这 是 一 个 合理 
的 策略 ， 因 为 6 和 一 由 是 语义 等 价 的 。 如 果 由 等 于 (和 ^ $,)， 使 用 德 摩根 律 一 ($，^ 
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$,)=76,%7 了,， 在 这 种 情况 ，NNF 应 该 循环 的 调用 自身 。 对 偶 地 ， 如 果 $ 是 (YY 
$,) ， 要 求 使 用 另 一 个 德 摩根 律 一 Cg， 四,) = 一 中 A ho WE 中 是 合 取 或 析 取 ， 直 接 把 
NNF 应 用 到 子 公式 。 很 清楚 ， 所 有 文字 都 是 NNF 形式 的 。NNF 的 代码 为 : 
‘function NNF (由 ) : 
/* 前 置 条 件 :由 是 无 蕴涵 的 * / 
/* 后 置 条 件 :NNF OR o ANNE * / 
begin function 
case 
由 是 一 个 文字 :由 
由 是 一 一 四 :return NNF ($, ) 
$b 是 $1 Ag, :return NNF (bi) 人 NNF ($; ) 
由 是 四 Ao, :return NNF (6, )A NNF ($,) 
$ Èi, Ad, ) :return NNF (一 由 )V NNF (一 中 ) 
$ Æ i, V ps) :return NNF (一 的 )A NNF (7 @,) 
end case 


end function 


注意 ， 由 于 算法 的 前 置 条 件 要 求 ， 因 此 上 面 列 出 的 情况 是 无 遗漏 的 。 任 给 一 个 命题 逻辑 
公式 中， 通过 调用 CNF(NNF(IMPL_ FREE(d)))， 可 以 把 转化 为 等 价 的 CNF。 在 习题 
里 ， 要 求 你 证 明 ， 
。 所 有 的 四 个 算法 当 输 入 与 前 置 条 件 相 同时 停止 ; 
e CNF(NNF(IMPL_ FREE(4))) 的 结果 是 CNF 形式 的 ; 
。 结果 与 $ 是 语义 等 价 的 。 
我 们 将 在 第 4 章 再 讨论 这 个 重要 的 问题 ， 形 式 地 证 明 程 序 的 正确 性 。 
现在 用 一 些 具体 的 例子 说 明 上 面 的 程序 代码 。 先 计算 CNF(NNF(IMPL_ FREE(- p ^ q> 
Pp ^(r 一 9) ) ) ) 。 我 们 说 明 这 个 计算 的 所 有 细节 ， 将 此 与 上 面 的 代码 应 该 表现 的 进行 比较 。 
首先 ,计算 IMPL_ FREE(¢): 
IMPL_ FREE() = > IMPL_ FREE(~ p ^q) v IMPL_ FREE(p ^(r —>q)) 
= 7((IMPL_ FREE > p) \(IMPL_ FREE g)) v IMPL_ FREE(p ^(r—q)) 
= 7((~p) A IMPL_ FREE q) v IMPL_ FREE(p 4(r-+q)) 
= 7(7p%q) Vv IMPL_ FREE(p A(r—q)) 
= "(mp 人 ^g) v((IMPL FREE p) ^ IMPL_ FREE(r— q)) 
= 7(7pAq) V(paA IMPL_ FREE(r— q)) 
= "(7 pq) ¥(p4(7(IMPL_ FREE r) v(IMPL_ FREEg) )) 
= (> pq) v(PA(mrv(IMPL FREE q))) 
= 7(7p%q) VipaA(arvg)) 
其 次 ,计算 NNF(IMPL_ FREE@): 
NNF(IMPL_ FREE$) = NNF(= (~ p^q)) V NNF(p^( ry q)) 
= NNF(=(>p)y=qg) Y NNF(p^(>ryq)) 
= (NNF(>=p)) Y(NNF(>q) v NNF(p ^(— rv q)) 
= (pY(NNF(=qg))) YNNEF(p^(œryq)) 
= (pv¥7q) V NNF(p A(—rvq)) 
= (pv¥7q) V((NNF p) A(NNF(> rv q))) 
= (pY~q) V(p A(NNF(—7v q))) 
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(p v7 q) V(pAC(NNF(—1r)) VCNNF q))) 
(p¥~7 4) V(p AC 7rvV(NNF q))) 
(pv¥7q) V(pa(rryvg@)) 


第 三 ， 得 到 最 终结 果 : 
CNF(NNF(IMPL_ FREE 中 )) = CNF((pv-7q) vV(pA(—rvq))) 
= DISTR(CNF(p v~ q) ,CNF(p 4( > rv q))) 
= DISTR(p V= q,CNF(p A(7 rv q))) 
= DISTR(p Y~ q,p4(-7rvq)) 
= DISTR(p V~ q,p) ^ DISTR(p V7. q,7rVvq) 
= (pv¥~qv p)  DISTR(p ¥~q,77rvq) 
= (pY~™qY Pp) (py 7qv-ryg) 
RE, 公式 (p v7 Gv p)A(pY7qvory q) si CNF(NNF(IMPL_ FREE 小 ) ) 的 结 
果 ， 并 且 是 合 取 范式 ， 等 价 于 4。 注意 , 它 是 可 满足 的 (选择 p 是 真 的 ) ， 但 不 是 有 效 的 ( 选 
择 p 是 假 的 ，g 是 真 的 )。 它 也 等 价 于 更 简单 的 合 取 范式 p vg。 观 察 到 该 算法 不 能 做 到 最 
优化 ， 因 此 ， 需 要 一 个 单独 的 优化 器 作用 于 输出 。 另 外 ， 可 以 改变 函数 的 代码 任 其 优化 ， 计 
算 开 销 证 明 是 达 不 到 预期 的 。 
应 该 认识 到 在 调用 CNF(p vg) 和 CNF(p ^( 了 rvg)) 时 ， 省略 了 几 个 计算 步骤 。 把 输 
入 作为 结果 返回 ， 因 为 此 时 的 输入 已 经 是 合 取 范 式 。 
作为 第 二 个 例子 ， BRS ro(so(trsor)), HH: 
IMPL_ FREE(¢$) = 一 (IMPL_ FREE r) v IMPL_ FREE(s > (t^s—>r)) 
= mr v IMPL_ FREE(s— (t^s—r)) 
= 7rV(7(IMPL_ FREE s) v IMPL_ FREE(t 4 s—r)) 
= 77rVv(—7sVIMPL_ FREE(tv s—r)) 
= 77rv(>7sVv(7(IMPL_ FREE(t”s)) v IMPL_ FREE r)) 
= 7rv(>sv(7((IMPL_ FREE t) A(IMPL_ FREE s)) v 
IMPL_ FREE r) ) 
= =rv(—7sv(7(tA(IMPL_ FREE s)) v(IMPL_ FREE r) ) ) 
= 4rv(—7sv(7(t”4s)) vCIMPL_ FREE r) ) 
= a rv(4sV(7(t4s)) vr) 
NNF(IMPL_ FREE ) = NNF(>rv(7sVv7(tAs) vr)) 
(NNF =r) v NNF(>sV7(tAs) vr) 
= 7rVNNF(>sva(tAs) vr) 
= —rVv(NNF(—s) v NNF(=(t45) vr)) 
= orv(7sV NNF(7(tA4(s) v7)) 
= —rv(>sV(NNF(7(t4s)) v NNF 7)) 
= 7rv(7sV(NNF(7tv-—s)) v NNFr) 
= 4rv(—>sv((NNF(~¢t) v NNF(7s)) v NNF 7)) 
= 4rv(7sv((7tv NNF(7s)) v NNFr)) 
= 7 rv(>sv((>69>5) V NNF r)) 
= > rv(4s¥((7tV55) vr) 


而 后 者 已 经 是 CNF 形式 的 ， 并 且 是 有 效 的 ， 因 为 *x 有 一 个 匹配 ”~ r, 
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1.5.3 BAF H Et 


前 面 提 到 将 一 个 命题 逻辑 公式 转化 成 等 价 的 CNF 要 付出 计算 代价 。 后 一 类 公式 很 容易 
进行 有 效 性 的 句法 检验 ， 但 一 般 的 检验 可 满足 性 很 困难 。 幸 运 的 是 ， 实 际 上 有 一 子 类 很 重要 
的 公式 可 以 更 有 效 地 判断 它们 的 可 满足 性 。 一 个 这 样 的 例子 是 霍 轧 公式 (Horm formulas) 类; 
名 字 霍 恩 来 源 于 逻辑 学 家 A Hom。 下 面 给 出 定义 ， 并 给 出 检验 可 满足 性 的 算法 。 

回忆 侵 辑 当量 1(“ 底 ”) 和 TT(“ 顶 ”) 分 别 表 示 不 可 满足 的 公式 和 重 言 式 。 

定义 1.46 ZERAAL MAZE 和 ， 如 果 它 可 以 用 下 列 语法 作为 豆 的 实例 产生 : 

P::= LITIp 
A::=P| PAA 
C:=A—-+P (1-7) 
H::=Cl CAH 
CHE-TRARAERF A. 

BBLAAESTHOER. RES AE— TBR, CBR AR TAM P KE 

合 取 ， 它 的 结论 也 是 类 型 P。 霍 恩 公 式 的 例子 是 : 
(PAg^s—>p) A(qAr—p) A(pAs—s) 
(pAqAs—+1) A(qrAr—-+p) A(T >s) 
(pa ^ Ps ^ Ps > Pa) ACT > ps) AC ps A py >) 
不 是 堆 恩 公式 的 例子 是 : 
(P^q4^ 人 ss 一”pP)A(9Ar 一 pP) A(prAs—s) 
(P^q^ 人 3 一 上 )A^ 人 (9A^Ar 一 P) ^A(T 一 5) 
(Pi ^ Ps ^ Ps >P ^Pu) ACT — ps) A(ps ^ py, > L) 
(Pp, A P3 ^ Ps > Pa ^ Poy) ACT — ps) A(ps ^ py YL) 

第 一 个 公式 不 是 起 恩 公 式 ， 因 为 公式 的 第 一 个 合 取 的 结论 ~- p 不 是 类 型 P。 第 二 个 公式 
也 不 是 ， 因 为 第 二 个 合 取 荀 涵 的 前 提 一 9 ^ r 不 是 原子 、 上 或 工 的 合 取 。 第 三 个 公式 不 是 霍 
恩 公 式 ， 因 为 第 一 个 合 取 蕴涵 的 结论 ms^ pz 不 是 类 型 P。 第 四 个 公式 很 显然 不 是 起 恩 公式 ， 
因为 它 不 是 蕴涵 的 合 取 。 

我 们 给 出 判断 一 个 霍 恩 公式 由 可 满足 性 的 算法 ， 它 适合 $ 中 类 型 P 的 所 有 情况 ， 具 有 
性 质 : 

1. 如 果 它 出 现在 由 中 ,标记 下 。 

2. 如 果 WARP, APL 入 … 人 入 PoP PSA PO <j<%,) 都 被 标记 ， 那 么 标记 P'， 重复 2。 否 则 

( = 没有 合 取 已 AP, ^… 和 ^ Pi 一 P' 中 所 有 的 P 被 标记 ) ， 继 续 3。 

3. 如 果 上 被 标记 ,输出 “ 霍 恩 公 式 $ 不 是 可 满足 的 ”"， 停 止 。 和 否则 ， 继 续 4。 

4. 输出 “元 恩 公 式 是 可 满足 的 "， 停 止 。 

在 这 些 指令 中 ,公式 的 标记 由 替 恩 公式 中 这 些 公式 的 所 有 其 他 情况 共同 分 配 。 例 如 ， 由 
上 面 的 准则 ,一 旦 标记 了 p,， 那 么 所 有 在 其 他 出 现 的 p 也 被 标记 。 使 用 伪 代 码 形式 地 说 明 
这 个 算法 : 

function HORN (¢) 

/* 前 置 条 件 :4 是 元 恩 公 式 * / 

/* JB RE :HORN (6) FU 由 的 可 满足 性 * / 


begin function 
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标记 所 有 在 由 中 出 现 的 T : 

whileg PARP, AP, A.A PoP TA P, 都 被 标记 而 已 没有 被 标记 时 ,ao 标记 已 
“ena while 

if | 被 标记 then return f EMMEK", else return ‘TREK’ 


end function 


我 们 需要 明确 算法 对 输入 的 所 有 霍 恩 公式 由 停止 ， 它 的 输出 ( = 它 的 判断 ) 总 是 正确 的 。 

定理 1.47 算法 HORN 对 堆 思 公 式 的 可 满足 性 判断 是 对 的 ， 并 且 在 while BOP, WHR 
中 中 的 原子 数 是 n， 那 么 循环 不 超过 n+1 次。 特别 地 ，HORN 总 是 对 正确 的 输入 停止 。 

证 明 首先 考虑 程序 终止 问题 。 注 意 ，while 语句 标记 的 效果 是 对 不 是 丁 的 未 标记 的 P 
进行 标记 。 因 为 这 种 标记 应 用 到 由 中 出 现 的 所 有 P， 因 此 ，while 语句 的 循环 比 由 中 的 原子 
最 多 多 一 次 。 

因为 能 够 保证 程序 终止 ， 还 要 证 明 算法 HORN 给 出 的 回答 总 是 正确 的 。 至此， 揭示 了 
标记 函数 的 作用 。 本 质 上 说 ， 标 记 尸 是 指 如 果 公 式 6 是 可 满足 的 ， 那 么 PP 一定 是 真 的 。 用 
数学 归纳 法 证 明 在 执行 完 任意 次 上 面 的 while 语句 后 ， 

“对 于 赋值 为 了 的 所 有 赋值 ,所 有 标记 的 P 是 真 的 ” (1-8) 
成 立 。 基 本 情况 是 零 次 执行 ， 这 表示 还 没有 进入 while 语句 ， 而 只 是 标记 了 所 有 出 现 的 下。 
因为 本 对 所 有 的 赋值 都 是 真 的 ， 所 以 式 (1-8) 成 立 。 

在 归纳 步 又， 假设 执行 不 次 while 循环 语句 ， 式 (1-8) 成 立 ， 那么 需要 证 明 对 +1 次 循 
环 后 的 所 有 标记 已 ， 有 同样 命题 。 如 果 进 入 第 下 +1 次 循环 ，while 语句 的 条 件 一 定 是 真 的 。 
RH, FEO WARP, ^P, ^oa P, 一 P', 它 的 所 有 P, 都 是 标记 的 。 假 设 " 是 使 由 为 真 的 
任意 赋值 。 由 归纳 假设 ， 我 们 知道 ， 对 赋值 v"， 所 有 的 P 是 真 的 ， 因 此 ,，P) ^ P, ^a P, 
HN. Mili, WR, P, ^P, AAP, PEERK., Blt, MR, PEAR, 

由 数学 归纳 法 ， 可 以 保证 不 管 while 语句 循环 多 少 次 ， 式 (1-8) 都 成 立 。 

最 后 ， 需 要 说 明 上 面 的 话语 句 总 能 给 出 正确 的 回答 。 首 先 ， 如 果 上 被 标记 ， 那 么 ，$ 一 
AARP AP, ^a Pu 一 上 ， 它 的 所 有 P, 被 标记 。 由 式 (1-8) ， 只 要 当中 是 真 的 ， 由 的 
合 取 赋值 TF =F。 因 为 这 是 不 可 能 的 ， 所 以 回答 “不 是 可 满足 的 ”是 正确 的 。 其 次 ， 如 果 上 上 
不 被 标记 ， 那么 ， 直 接 将 了 赋值 给 所 有 的 标记 原子 ,F 赋值 给 所 有 的 未 标记 原子 ， 由 矛盾 法 
TER, p 相对 于 那个 赋值 一 定 是 真 的 。 

如 果 中 在 那个 赋值 下 不 是 真 的 ， 那 么 它 的 合 取 已 AP, ^… 和 ^ 已 一 PERR. hA 
涵 的 语义 ， 这 一 定 表 明 所 有 的 P, 是 真 的 ， oes 由 赋值 的 定义 ， 推 出 所 有 的 P, 是 标 
记 的 ， Aik, P, aP, ^… 和 ^ 忆 一 尸 是 由 的 一 个 合 取 ， 它 在 while 语句 中 循环 过 一 次 ， 于 是 ， 
已 也 是 标记 的 。 因 为 上 不 是 标记 的 ， 所 P 一 定 是 T 或 某 个 原子 。 对 任意 一 种 情况 ， 由 
式 (1-8) , 合 取 是 真 的 ， 矛 盾 。 口 

注意 ,上面 证 明 中 采取 的 矛盾 法 不 是 真正 必要 的 。 它 使 得 讨 证 更 加 自然 。 在 文学 中 有 很 
多 这 样 的 例子 ， 矛 盾 法 证 明 比 直接 的 理论 证 明 在 心理 上 更 容易 接受 。 


1.6 SAT 求解 机 


霍 恩 公式 的 标记 算法 是 对 所 有 使 公式 为 真 的 赋值 进行 标记 来 作为 约束 。 由 式 (1-8)， 所 
有 的 标记 原子 对 任意 这 样 的 赋值 必须 是 真 的 。 通 过 计算 约束 ， 我 们 可 以 扩展 这 个 思想 到 一 般 
的 公式 四， 比如 说 ， 对 由 是 真 的 所 有 赋值 ， 的 哪些 子 式 要 求 某 种 真 值 ; 
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“对 于 由 赋值 为 T 的 所 有 赋值 ,所 有 的 标记 子 式 赋 值 为 它们 的 标记 值 ” (1-9) 
在 这 种 情况 下 ， 标 记 原 子 推广 到 标记 子 式 ;“ 真 "标记 推广 到 “ 真 "和 “ 假 " 标 记 。 同 时 ， 
式 (1-9) 作 为 设计 一 个 算法 的 指南 ， 以 及 作为 证 明 它 的 正确 性 的 不 变量 。 


1.6.1 线性 求解 机 


我 们 将 对 公式 的 语法 分 析 树 执行 这 个 标记 算法 ， 除 此 以 外 ， 我 们 将 把 公式 翻译 为 合适 的 
片段 
$: = pl (7o)1 (649) (1-10) 
然后 共享 语法 分 析 树 的 共同 子 式 ,使 树 成 为 一 个 有 向 无 环 图 (directed，acyclic graph, 
DAG) 。 递 归 地 定义 这 种 转化 : 
T(p) =p T(-$) = “T(¢) 
TC, ^p) = T(d,) A T(,) TC Yp) = 7(7T(¢,) A7 T($,)) 
T(o, > 8) = 7(T(¢,) 47 T(¢,)) 
由 式 (1-3) 产 生 的 公式 转化 为 由 式 (1-10) 产 生 的 公式 应 满足 : 6 Td) 是 语义 等 价 的 ， 
并 且 有 同样 的 命题 原子 。 因 此 ，g 是 可 满足 的 当 且 仅 当 7($) 是 可 满足 的 ; 并 且 使 6 为 真 的 
赋值 集合 等 于 使 T($) 为 真 的 赋值 集合 。 后 者 保证 应 用 到 T($) 的 SAT 求解 判断 对 原来 公式 
中 是 有 意义 的 。 习 题 里 要 求 你 证 明 这 些 论断 。 
例 1.48 对 于 形式 为 p ^ 一 (g v 一 p) 的 公式 Bg， 计 算出 7T($) = p 和 一 (一 g 人 一 一 p)， 
语法 分 析 树 和 7( 由 ) 的 DAG 画 在 图 1-12 H, 


图 1-12 例 1.48 公式 的 语法 分 析 树 ( 左 ) 和 有 向 无 环 图 ( 右 ) 。 
右边 的 p 结 点 是 共享 的 
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任何 使 P^” (9^>”m”P) 为 真 的 赋值 一 定 把 T 指 派 给 图 1-12 中 的 DAC 的 最 上 面 的 ^ 
结 点 。 添 加 标记 了 到 p 结 点 和 最 上 面 的 一 结 点 。 用 同样 的 方法 ,得 到 图 1- 13 的 完全 约束 集 
合 ， 其 中 时 间 戳 “1:” 等 表示 应 用 关于 这 些 约束 的 直觉 推理 的 次 序 ; 这 个 次 序 一 般 不 是 唯 








一 的 。 
LT A 
N 2:T 
了 3:F 
/ 4:T 
5T ` ` AT 
> 3:F 
2T P 6:F q 


图 1-13 由 DAG 表示 的 公式 可 满足 性 的 证 据 


图 1-14 所 示 强 加 新 的 约束 到 旧 约 束 的 规则 形式 集合 。 小 圆圈 表示 任意 结 点 (一 ，^ 或 原 
Fo PAIR A! 表示 在 一 结 点 上 真 的 约束 强加 它 的 对 偶 值 到 它 的 子 结 点 ， 反 之 亦 
然 。 规 则 ^ 将 一 个 ^ 结 点 的 了 约束 到 它 的 两 个 子 结 点 ;对偶 地 ，^ 表 示 在 一 个 ^ 结 点 强加 一 
个 工 标记， 如 果 它 的 两 个 子 结 点 都 有 那个 标记 。 规 则 ^xs 和 As 强加 一 个 下 约束 到 ^ 结 点 ， 如 
果 它 的 任意 子 结 点 有 一 个 了 值 。 规 则 ^m 和 ^m 是 更 复杂 的 : 如 果 ^ 结 点 有 一 个 下 约束 ， 并 且 
它 的 一 个 子 结 点 有 T 约束 ， 那 么 其 他 的 子 结 点 获得 一 个 下 约 东 。 

请 检查 如 图 1-13 所 示 的 所 有 约束 都 是 由 这 些 规则 产生 的 。 在 DAG 中 每 一 个 结 点 获得 一 
个 标记 的 事实 还 不 能 证 明 这 是 由 这 个 DAG 表示 的 公式 的 可 满足 性 的 一 个 证 据 。 后 处 理 阶段 
对 所 有 原子 标记 ， 并 且 以 自 底 向 上 的 方式 再 计算 所 有 其 他 结 点 的 标记 ， 正 如 1. 4 节 对 语法 分 
析 树 所 做 的 。 只 有 最 终 标记 与 计算 的 相 匹 配 ， 才 找到 一 个 证 据 。 试 证 明 对 图 1-13 这 种 情形 
成 立 。 

我 们 可 以 应 用 SAT 求解 机 来 检查 一 个 矢 列 是 否 有 效 。 例 如 ， 矢 列 p A g—ork P 一 4 一 上 是 
有 效 的 当 且 仅 当 (P ^ qr) > poqor BP EB (WHA?) SAY 6 = “(Cp A qr) 
P97) 不 是 可 满足 的 。7(4$8) 的 DAG 由 图 1-15 给 出 。 注 释 “1” 等 表示 用 哪些 结 点 代表 哪些 
子 公式 。 注 意 ， 这 样 的 DAG 可 以 通过 自 底 向 上 的 方式 应 用 了 的 转化 子 句 到 子 公 式 构建 ， 可 
应 用 共享 相等 的 子 图 。 1 

SAT 求解 机 可 参见 图 1-16。 求 解 机 包括 指定 的 结 点 要 求 满足 式 (1 -9) 的 标记 了 和 F, È 
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F 


A 
Ari WZ Ae N 假 合 取 式 强制 假 合 取 
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a fe 假 合 取 和 真 合 取 式 
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T 一 一 一 一 <T 
图 1-14 公式 的 DAG 中 约束 流 规则 。 小 圆圈 表示 任意 结 点 (一 ，^ 或 原子 ) 。 
注意 规则 和 ma ，A^e 和 入 vi 要 求 两 个 一 的 源 约束 都 出 现 


样 的 矛盾 约束 推出 DAG 是 这 个 图 形 的 所 有 公式 7($) 不 是 可 满足 的 。 特 别 地 ， 所 有 这 样 的 由 
是 不 可 满足 的 。 这 个 SAT 求解 机 的 运行 时 间 关 于 7T($) 的 DAG 大 小 是 线性 的 。 因 为 这 个 大 
小 是 由 的 长 度 的 线性 函数 一 一 转化 了 只 导致 线性 破坏 一 -SAT 求解 机 的 运行 时 间 关 于 公式 
长 度 是 线性 的 。 这 个 线性 性 质 的 代价 是 : 线性 求解 机 对 形 如 一 (8, ^p ) 的 所 有 公式 都 失效 。 


1.6.2 三 次 求解 机 


在 应 用 线性 SAT 求解 机 时 ， 看 到 有 两 个 可 能 结果 : 或 者 发 现 矛 盾 约 束 ， 即 没有 由 DAC 
表示 的 公式 是 可 满足 的 (例如 图 1- 16); 或 者 能 强加 相 容 约束 到 所 有 结 点 ， 在 这 种 情况 下 ， 
所 有 由 这 个 DAG 表示 的 公式 都 是 可 满足 的 ， 那 些 约束 成 为 证 据 ( 例 如 图 1-13)。 但 遗憾 的 
是 ， 还 有 第 三 种 可 能 ， 所 有 的 强加 约束 彼此 都 是 相 容 的 ， 但 不 是 所 有 的 结 点 都 被 约束 。 我 们 
已 经 说 明 这 种 情况 对 形 如 一 ($, Ab, ) 的 公式 会 发 生 。 

回忆 一 下 ， 具 有 CNF 形式 的 公式 的 有 效 性 检验 是 很 容易 的 。 我 们 已 经 指出 检验 CNF 的 
\ 式 的 可 满足 性 是 很 困难 的 。 为 了 说 明 这 个 问题 ， 考 虚 一 个 基于 [ Pap94] 中 例 4.2 的 CNF 
x; 





> 
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q r 11:F 
图 1-15 一 ((P ^ 4 一 r) 一 p 一 4 一 r) 的 图 1-16 应 用 到 图 1-15 的 DAG 的 强制 规则 ， 在 所 示 结 点 


DAG。 标 记 “1” 等 表示 哪些 结 点 处 探测 矛盾 约束 一 一 蕴涵 初始 约束 “1: T" 不 能 实现 。 
代表 哪些 子 公式 于 是 ， 这 个 DAG 所 表示 的 公式 不 是 可 满足 的 


((pY(gvr)) AC(pY7 4) Al layr) AC(rY7p) A(>=pv(4qv>7r)))))) 
(1-11) 

直观 地 看 ， 这 个 公式 不 是 可 满足 的 。 式 (1-11) 的 第 一 和 最 后 子 式 说 明 p、9 和 + 中 至 少 有 
一 个 是 假 的 ， 有 一 个 是 真 的 。 其 余 的 三 个 合 取 子 式 说 明 P、9 和 7 都 有 同样 的 真 值 。 这 个 
公式 不 是 可 满足 的 。 一 个 好 的 SAT 求解 机 能 发 现 这 一 点 而 不 需要 任何 使 用 者 的 干预 。 不 
幸 的 是 ,线性 SAT 求解 机 即 不 能 检查 不 相 容 约束 也 不 能 计算 所 有 结 点 的 约束 。 图 1-17 给 
出 了 7T($) 的 DAG 图 ,其 中 由 由 式 (1-11) 给 出 。 并 指出 SAT 遇 到 困难 ; 没有 发 现 不 相 容 
的 约束 ， 并 且 不 是 所 有 的 结 点 都 得 到 约束 。 特 别 地 ， 没 有 原子 得 到 一 个 标记 ! 那么 ， 怎 
么 改进 这 种 分 析 昵 ? 我 们 可 以 模仿 LEM 的 作用 来 改进 SAT 求解 机 的 精度 。 对 于 如 图 1-17 
带 有 标记 的 DAG， 挑 选 还 没有 被 标记 的 任何 结 点 n， 然 后 分 别 做 两 个 独立 的 计算 来 检验 结 
Mn: 

1. 对 图 1-17， 通 过 只 对 n SI T ARIE E A ERY e AR E a A A 

2. 对 图 1-17， 通 过 只 对 n UHI F ERIC ee BE Né B} (temporary) PRIZE BE HAY. 
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图 1-17 式 (1-11) 中 的 公式 转化 的 DAG， 它 有 一 个 长 度 为 4 Wn, CRATFRHER, 


它 的 线性 分 析 遇 到 困难 : 所 有 的 强制 约束 彼此 相 容 ， 
但 有 用 个 结 点 ， 包 括 所 有 的 原子 都 是 非 约 束 的 


qd r 


如 果 两 种 运算 都 得 到 矛盾 约束 ， 那 么 算法 停止 ,报告 T(4$) 是 不 可 满足 的 。 否 则 ， 对 两 
种 运算 都 得 到 同样 标记 的 所 有 结 点 接受 相同 的 标记 作为 永久 标记 ; 即 用 这 样 共享 的 标记 修正 
图 1-17 的 标记 状态 。 - 

用 同样 的 方法 进一步 检验 未 标记 的 结 点 ， 直 到 发 现 矛 盾 的 永久 标记 ， 即 一 个 可 满足 性 的 
完全 证 据 (所 有 结 点 都 有 相 容 标记 ) ， 或 者 用 这 个 方法 检验 了 所 有 目前 尚未 标记 的 结 点 而 没 
有 发 现任 何 共享 的 标记 。 只 有 在 后 一 种 情况 ， 我 们 不 知道 由 DAG 表示 的 公式 是 否 可 满足 的 ， 
分 析 停 止 。 

例 1.49 再 看 图 1-17， 分 析 遇 到 了 困难 。 检 验 一 个 ”~ 结 点 ， 探 讨 将 该 结 点 标记 了 的 结 
果 。 图 1-18 给 出 了 分 析 的 结果 。 对 偶 地 ， 图 1-19 给 出 了 对 那个 一 结 点 标记 下 的 结果 。 因 为 
两 种 运算 都 给 出 矛盾 ， 算 法 终止 ， 因 此 ， 式 (1-11) 给 出 的 公式 是 不 可 满足 的 。 
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LET A 
2T A 
3:T A 
4:T A 
7 5T 
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eF\ | : 
af = . T 
合 取 处 的 矛盾 约束 
bF - fT ~ bF ~ 
cT p g:F q e:Tr 


图 1-18 用 T 了 标记 没 有 被 标记 的 结 点 ， 探 索 由 此 得 到 的 新 的 约束 。 分 析 说 明 这 个 检验 标记 
导致 记 盾 约束 。 使 用 小 写字 母 “a: "等 表示 临时 标记 


在 习题 里 ， 要 求 你 证 明 三 次 SAT 求解 机 的 说 明 是 合理 的 。 它 的 运行 时 间 确 实 是 DAG 大 
小 (原来 公式 的 长 度 ) 的 立方 。 一 个 因素 由 使 用 在 每 个 检验 运算 中 的 线性 SAT 求解 机 产生 。 
第 二 个 因素 由 必须 检验 每 个 未 标记 的 结 点 所 引入 。 因 为 每 个 新 的 永久 性 标记 导致 需要 再 一 次 
检验 所 有 的 未 标记 结 点 ， 这 样 需要 第 三 个 因素 。 

我 们 有 意 没有 详细 说 明 三 次 SAT 求解 机 ， 但 任何 操作 或 最 优化 决策 需要 保证 分 析 的 合 
理性 。 如 下 形式 的 所 有 回答 

1.“ 输 入 公式 不 是 可 满足 的 ” 

2.“ 输 入 公式 在 下 列 赋值 下 …… 是 可 满足 的 ” 

必须 是 正确 的 。 由 定义 , 第 三 种 回答 形式 “对 不 起 ， 我 不 能 判断 可 满足 性 ”是 正确 的 。 
我 们 简要 地 讨论 两 个 对 算法 的 合理 修改 ， 可 能 导致 算法 要 确定 更 多 的 实例 。 在 探讨 一 个 检验 
结 点 上 的 临时 标记 的 结果 后 ， 考 虑 一 个 DAG 的 状态 。 
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图 1-19 用 了 标记 同样 的 未 标记 结 点 ， 探 索 由 此 得 到 的 新 的 约束 。 
分 析 说 明 这 个 检验 标记 也 导致 矛盾 约束 


1. 如 果 状 态 “ 永 久 的 加 上 临时 的 标记 ”包含 矛盾 约束 ， 可 以 抹 去 所 有 的 临时 标记 ， 用 它 的 检验 对 偶 标 记 
永久 地 标记 检验 的 结 点 。 即 ， 如 果 用 一 个 产生 矛盾 的 标记 结 点 PR， 那么 将 得 到 一 个 永久 标记 五 ， 其 中 工 = 
F, F=T; 否则 

2. 如 果 状 态 能 用 相 容 约 东 标记 所 有 的 结 点 ， 报 告 这 些 标记 作为 可 满足 性 的 一 个 证 据 ， 终 止 算法 。 

如 果 这 些 情况 都 不 能 应 用 ， 那 么 可 能 的 话 ， 修 改 两 个 检验 的 共享 标记 为 永久 标记 。 

例 1.50 为 了 明白 这 些 最 优化 中 的 一 个 可 能 怎样 产生 不 同 ， 考 虑 图 1-20 的 DAG, WẸ 
. 我们 用 了 检验 标记 的 结 点 ， 那 么 产生 矛盾 约束 。 因 为 任何 可 满足 性 证 据 一 定 把 某 个 值 指派 到 
那个 结 点 ， 推 出 它 不 能 是 T。 这 样 ， 可 以 永久 地 指派 标记 下 到 那个 结 点 。 对 这 个 DAG， 这 样 
的 一 个 最 优化 似乎 没有 帮助 。 没 有 一 个 未 标记 结 点 的 检验 发 现 一 个 共享 的 标记 或 一 个 共享 的 
AS. WH SAT 求解 机 对 这 个 DAG 不 起 作用 。 
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图 1-20 检验 用 了 标记 导致 矛盾 约束 的 结 点 ， 可 以 用 永久 地 标记 那个 结 点 。 
然而 ,算法 似乎 不 能 确定 这 个 DAG 的 可 满足 性 ， 即 使 采用 最 优化 


1.7 习题 
练习 1. 1 


1. 使 用 一 ， 一 ，^ 和 v ,将 下 面 陈述 语句 表示 为 命题 逻辑 ,对 每 个 问题 说 明 相 应 的 命题 原子 

Pp，9 等 。 

“(a) 如 果 今 天 阳光 明媚 ， 那 么 明天 将 不 会 阳光 明媚 。 

(b) Robert 嫉 妨 Yvonne， 或 者 他 的 情绪 不 好 。 

(c) 如 果 气 压 下 降 ， 那 么 可 能 下 雨 ， 或 者 下 雪 。 

“(d) 如 果 有 一 个 邀请 ， 那 么 或 者 最 终 被 答谢 ， 或 邀请 没有 成 功 。 

(e) 癌 症 将 不 能 治愈 ， 除 非 能 够 找到 病因 和 发现 治疗 癌症 新 药 。 

(f) 如 果 利 率 上 升 ， 那 么 平均 价格 下 降 。 

(g) 如 果 Smith 安装 了 中 央 空 调 ， 那 么 他 已 经 卖 了 他 的 车 或 没有 付 他 的 贷款 。 
“(h) 今 天 要 么 下 雨 要 么 阳光 明媚 ， 但 不 会 两 者 都 发 生 。 

“ (让) 如果 Dick 昨天 遇 到 了 Jane， 他 们 要 么 一 起 喝 咖啡 ， 要 么 到 公园 里 散步 。 
(DRA, RANK, BARS. 

(k) 我 妹妹 要 一 个 黑白 花 的 猫 。 

2. 下 面 的 命题 逻辑 公式 假设 蕴涵 约定 1.3 的 逻辑 联结 词 绑 定 优先 级 人 性质 。 试 通过 重新 插 人 
尽 可 能 的 括号 ,说明 你 完全 明白 那些 约定 。 例 如 ， 对 p ^ 4 一 r， 因 为 ^ 比 一 有 更 强 的 绑 定 
优先 级 ， 则 将 公式 改变 为 (p Ag) r 
“(a)7 pAqor 
(b) (pq) A7(r Y pq) 

(e) (pq) (1s y t) 
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(d)p V(> q->p Ar) 
“(e)pV qa paAr 
(f)p Y P 一 ”9 
"(8g) 为 什么 表达 式 p Yq ^r 是 有 问题 的 ? 


练习 1.2 


1. 证 明 下 列 矢 列 的 有 效 性 : 
(a)(pAq)Ar, sAthqas 
(b)prqt qrp 
“Co)(prq)rArkpr(qrr) 
(d)p 一 (pz 一 9) pq 
“(e)q>(por), `r, qr 7p 
“(AE (p Aq) p 
(g)pF 9 一 (P^ 人 9) 

"(h)p F(p>q)— q 
*Ci)(p—>r)^(q—>r)F p ^q>r 

*G)g—>r F(p—>q)—>(p—>r) 

(k)p 一 (4 一 r) ，P 一 g F por 

“(pog, roshpvroqvs 
(m)pvV qh r>(pvq)Ar 

“(n)(p V(q>p) )Aqk p 

“(o)pog, r>sH p^r —q^s 
(p)p>qtH((p^qg)—>p)^l(p—>(p^q)) 
(DF 4 一 (P 一 (P 一 (4 一 p) )) 

“(rpg A rE (pq) (pr) 

(s) (pq) A(por)F pog ^r 

(t)F (pq) ( (19s) > (p ^ r=q^s)); 你 可 以 “循环 使 用 ”和 利用 前 面 习题 的 证 明 。 
(u)p>g b> q>7 p 
“(Wpv(p^gqg)Fp 

(w)r, p>(r>q)F p>(q ^r) 
*(x)p—>(q Yr), qos, r—s F p 一 3 
(y) (p ^a) ylpar)F paly r) 

2. 对 下 面 的 矢 列 ， 证 明 哪 些 是 有 效 的 ， 哪 些 不 是 有 效 的 。 
*(a) = pong gap 
“(b)7pv7gk-7(pq) 

“(e)7p, pYqtq 

“(d)pv¥q, 7qvrkpvr 

“(e)po(qvr), `q, “rho p 不 使 用 MT 规则 
“(a7 parqt-(pvq) 

“(gp A7 pF (rq) A (rg) 





w 


a Ae 
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(h)p—>q, si pY s—q ^t 
"CG 7(> pv qr Pp 
. 证 明 下 面 矢 列 的 有 效 性 
(a) 7 ppt p 
(b) 7 p F p-+q 
(c)jpvg, ~qtp 
“(d)F 7 p>(p>(p9q) ) 
(e) = (pq) F gp 
(f)p->qr-pvq 
(g)F 7p Y > (pq) 
(h)p—>(q yr), 7q, TrF7p 
(i)(eAn)ot, RAs, RAT(sVc)—>pr(nAnat)>p 
人 中) 出 现在 式 (1-2) 的 两 个 矢 列 
(k)q (pr q)v( 7p 4 q) (FR LEM 规则 
(I)-(prq)Frpy7q 
(m)p A q>r (por) Y (q>r) 
“(n)pAqgt>(7pv7q) 
(o) "(7 pv 7q)Fp”rq 
(p)poqk~ py q 能 不 使 用 LEM 规则 吗 ? 
(qa) F (pq) Y (qr) {E LEM 规则 
(r)p>q, 7 por, 7q>7rkq 





(s)pog, rot, q>rF p—>>t 
(t)(p>q)— 1, sop, t, 7sAtoger 
(u) (sp) Y (tg) F(s—q) Y (tp) 

(v) (pr qg)—>r, ros, gars p 

. 解释 为 什么 直觉 逻辑 学 家 也 反对 证 明 规 则 PBC, 

. 证 明 下 面 命题 逻辑 定理 : 

“(a) ((p>q)> q)>((q>p)> p) . 

(b) 给 定 前 面 的 证 明 ， 你 能 对 ((9 一 p) 一 P) 一 ((2 一 9g) 一 9) 给 出 一 个 快速 的 讨论 吗 ? 
(ce) CCP 一 9) A(q>p)) > ((p ¥ gd) > (p 4 q)) 

*(d) (pq) >( (7 pq) q) 

. 自然 演绎 不 是 命题 逻辑 中 可 能 有 的 唯一 的 形式 证 明 框架 。 作 为 缩写 ， 记 工 表示 任意 有 限 
公式 矢 列 di b2, °°, p, (n= 0)。 这 样 ， 对 于 一 个 适当 的 ， 也 可 能 是 空 的 TT， 任意 矢 列 
可 以 写成 TF 水 。 在 这 个 题 里 ， 我 们 提出 一 个 不 同 的 证 明 概 念 ， 给 出 转化 有 效 矢 列 到 有 效 
FAAS. Ha, MRAP, pH y 的 证 明 ， 那 么 应 用 规则 一 1， 得 到 工 H 由 一 
的 一 个 证 明 。 新 的 方法 表示 矢 列 之 间 的 这 个 推理 规则 为 ; 














规则 “假设 " 写 为 ; 
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即 前 提 是 空 的 。 称 这 样 的 规则 为 原理 。 

(a) 用 这 样 的 形式 表示 图 1-2 的 其 余 证 明 规则 。( 提 示 : 一 些 规则 可 能 有 不 止 一 个 前 提 。) 
(b) 解 释 为 什么 在 这 个 新 的 系统 里 了 FF y 的 证 明 结 构 为 树 状 结构 ， 其 中 by EWR. 
(c) 在 新 的 证 明 系 统 里 ,证 明 p v(p 人 ^g)Fp。 

7. 证 明 V2 不 是 有 理 数 。 用 矛盾 法 证 明 : 假设 V2 是 分 数 k/1，k，1z¥0 是 整数 。 对 两 边 平 方 ， 
得 到 2 = 万/ 或 者 等 价 地 ， 有 2 了 = 有如。 可 以 假设 和 i 已 经 消去 了 任意 2 的 公 因 数 。 能 
说 2 有 一 个 不 同 于 记 的 因数 2 吗 ? 为 什么 这 是 一 个 矛盾 ,矛盾 在 哪里 ? 

8. 有 一 个 对 待 否 定 的 替换 方法 。 可 以 从 命题 逻辑 里 取消 运算 符 一 ， 把 6 一 上 看 成 一 四。 自然 
地 ， 这 样 的 逻辑 不 依赖 否定 的 自然 演绎 规则 。 通 过 用 $ 一 | 代替 一 9， 能 用 其 余 的 证 明 规 
WEDHI- i, =e, =- e 和 一 一 i 中 的 哪些 ? 

9. 引入 新 的 联结 词 boy ARE RE (bop) (dod), HORE AMBER, UB 
E poy RRA (dP) A(yoo), ， 证 明 它 们 是 导出 规则 。 





练习 1.3 


为 了 容易 理解 这 些 习题 ， 假 设 在 通常 约定 下 ， 绑 定 优先 性 质 与 约定 1.3 一 致 。 
1. 给 出 下 列 公式 ， 画 出 相应 的 语法 分 析 树 : 
(a)p 
“(b)p^g 
(e)p ^n gq >7p 
“(d)p A(7 q—>> p) 
(e)p>(7q v(q-p) ) 
(O= (q A( por) ) A(rq) ) 
(g)7 p V(pq) 
Ch) (p 4 q)>(7r v(q>r)) 
Ci) ((s V(> p) (> p)) | 
(Dl(sv((-p)—(~ 7p))) 
(k) (((s(r v1) ) ¥((> 9) a7) (mp os) )r)) 
(DD) (pg) ^m rla V(4paAr))) 
2. 对 下 面 的 每 个 公式 ， 列 出 它 的 所 有 子 式 ， 
“(a)p>(7 pVv( 77 q>(prq))) 
(b) (sr v I) y(n q Ar)>(7(ps)— r) 
(ce) (poqg)A(>r>(q v(4par))) 
3. mh Pa AE BAS $ 的 语法 分 析 树 ; 
“(a) 一 个 蕴涵 的 否定 
(b) 两 个 析 取 项 都 是 合 取 的 析 取 
“(c) 合 取 的 合 取 。 
4. 对 下 面 每 个 公式 ， 画 出 它 的 语法 分 析 树 并 列 出 所 有 的 子 式 ， 
“(a) 7(s>(>(p>(qv7s)))) 
(b) ((p>> q)v(pAr)—s)var 
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图 1-21 表示 非 合式 公式 的 树 


“5. 对 于 图 1-22 的 语法 分 析 树 ， 给 出 它 表 示 的 逻辑 公式 。 





图 1-22 一 个 否定 蕴涵 的 语法 分 析 树 


a 


. 对 于 下 面 的 树 ， 给 出 它们 的 线性 表示 ， 判 断 它们 是 否 对 应 于 合式 公式 : 
(a) 图 1-10 的 树 
(b) 图 1-23 的 树 。 
7. 画 出 下 面 表 示 一 个 非 合 式 公式 的 语法 分 析 树 : 
(a) 可 以 通过 添加 一 棵 或 几 棵 子 树 来 得 到 代表 合式 公式 的 树 ; 
(b) 它 本 质 是 病态 的 ; 即 它 的 任意 扩充 都 不 能 对 应 一 个 合式 公式 。 
8. 通过 试 画 语法 分 析 树 来 判断 下 列 公式 哪些 是 合式 公式 : 
(a)p A7(p Yn q)—> (rs) | 
(b)p A7(p Vv gars) (r>s) 
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图 1-23 另 一 个 否定 蕴涵 的 语法 分 析 树 


(cpAT(pYNs) (rs) 


在 上 面 的 病态 公式 中 ， 有 多 少 可 以 通过 只 插入 括号 的 方式 来 变 成 合式 公式 ? 
练习 1.4 


“1. 建立 了 -pv g 的 真 值 表 , 证 明 它 与 poo 的 真 值 表 一 致 。(“ 一 致 " 指 真 值 表 中 TT 和 下 值 对 应 
的 列 相同 。) 
2. 计算 公式 的 完全 真 值 表 : 
(a) ((p>q)> p)> p 
(b) 用 图 1-3 的 语法 分 析 树 表示 的 公式 。 
"Cep V(7(q A(r>q) ) ) 
(d)(p%q)-+(pvq) 
(e)((p >7q)>7 p)> q 
(f) (pq) Y (p> q) 
(8) ((p>q)— p)— p 
(h) ((p ¥ g)> 1) ( (pr) v(q>r)) 
(i) (pq) (7 pong) 
3. 给 定 一 个 赋值 和 一 个 公式 的 语法 分 析 树 ， 计 算 公 式 对 该 赋值 的 真 值 (如 图 1-7 的 自 底 向 上 
的 方式 ) ， 语 法 分 析 树 如 下 ; 
“(a) 图 1-10 的 赋值 是 9 Al RT, p 赋值 为 F; 
(b) 图 1-4，4 赋值 为 T，p flr BRHF; 
(c) K 1-23, Hp BT, g 是 F, rT; 
(d) 图 1-23, 其 中 p 是 F, 9 是 T，r 是 F。 
4. 计算 公式 语法 分 析 树 的 真 值 ， 说 明 真 值 表 中 相应 行 的 值 : 
“(a)p 赋值 为 Ff，g 赋值 为 T， 公 式 是 p>( 一 gv (gp)) 
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(DDAR (qg A(por)) ACr>q)), p 赋值 为 F，g REAT, 赋值 为 T。 
“5. 一 个 公式 是 有 效 的 当 且 仅 当 对 于 它 的 所 有 赋值 它 都 赋值 为 T; 它 是 可 满足 的 当 且 仅 当 至 少 
一 个 赋值 使 得 它 的 赋值 为 T。 图 1- 10 的 语法 分 析 树 的 公式 是 有 效 的 吗 ? 是 可 满足 的 吗 ? 
6. 假设 * 是 一 个 新 的 逻辑 关系 词 ， 满 足 p * 9 不 成 立 当 且 仅 当 P 和 9g 都 是 假 的 ， 或 者 都 是 
真 的 。 
(a) 写 出 p*g 的 真 值 表 。 
(b) 写 出 (p *p) *(q*q) MAAR. 
(c)(b) 的 真 值 表 与 图 1-6 的 一 个 表 一 致 吗 ? 如 果 一 致 ， 是 哪 一 个 ? 
(d) 你 知道 在 电路 设计 中 * 作为 逻辑 门 吗 ? 如 果 知 道 ， 它 的 名 称 是 什么 ? 
7. 这 些 习题 让 你 练习 使 用 数学 归纳 法 进行 证 明 。 清 楚 地 阐述 基本 情况 和 归纳 步 又。 你 也 应 
该 指出 在 哪里 应 用 归纳 假设 。 
(a) 对 nn 宇 1， 用 数学 归纳 法 证 明 
(2-1-1) + (252-1) 4 (2-3-1) te 4 (2-n-1) =r? 
(b) 和 7 是 自然 数 。 我 们 说 站 能 被 整除， 如 果 存 在 一 个 自然 数 p， 使 得 上 =p .7。 例 如 ， 
15 能 被 3 整除 ， 因 为 15 =5. 3。 使 用 数学 归纳 法 ， 证 明 对 自然 数 n 宇 1，11" -4° 能 被 
7 整除 。 
“(c) 使 用 数学 归纳 法 ,证 明 对 自然 数 ne 1, 
2 _n'(n+l1) (2n+1) 
6 
"(dd) 证 明 对 所 有 n=4 的 自然 数 ，2" 二 n+12。 这 里 的 基本 情况 是 n =4。 命 题 对 任何 n <4 
成 立 吗 ? 
(e) 假 设 邮 局 只 卖 面值 为 2¢ 和 3 的 邮票 。 证 明 任 何 2*# 或 更 大 的 邮资 都 能 只 使 用 这 些 邮 
票 交 付 。 提 示 : 对 n 运用 数学 归纳 法 ， 其 中 n¢ 是 邮资 。 在 归纳 步骤 中 考虑 两 种 可 
fe: B—, ne 可 以 只 由 2# 交 付 。 第 二 ， 付 ng 要 求 至 少 使 用 一 枚 3 邮票 。 
(f) 证 明 : 对 于 命题 逻辑 的 每 个 合式 公式 的 前 级， 左 括号 的 个 数 大 于 等 于 右 括号 的 个 数 。 
"8. 斐 波 那 契 数 在 建立 人 口 增长 模型 中 是 最 有 用 的 。 对 于 mn> 2, XF 1, ŽIA 
FaF, +F, 1。 因 此， Fy SF, +F,=14+1=2, FAA, nal, “F,, 
是 偶数 。" 注意， 这 个 论断 是 说 序列 Fi, Fo Fy, -- RARA. 
9. EAX rank, UW: 
rank(p) 1 
rank(— ¢) 14+ rank(¢) 
rank($ ° p) 1 + max(rank() ,rank(i) ) 
其 中 p 是 任意 原子 ，。e {>, v, A}, MR n> m, max(n, m)Æn, R2Hm, 回顾 公 
式 的 高 度 概念 (定义 1.32)。 对 o 的 高 度 使 用 数学 归纳 法 ,证 明 rank($) 不 是 别 的 而 是 所 
有 命题 逻辑 公式 6 HAE. 
“LO. 下 面 是 一 个 说 明 数 学 归纳 法 中 为 什么 需要 判断 基本 情况 的 例子 。 考 虑 论断 : 
“对 所 有 mm Sl, Bn? +5n4+1 BR’ 
《a) 证 明 论断 的 归纳 步 又。 
(b) 证 明基 本 情况 不 成 立 。 


nN 





1? 42 43 4+- +n 
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(c) 证 明 该 论断 是 错 的 。 
(d) 使 用 数学 归纳 法 证 明 ， 对 mz> 1, n +5n+1 是 奇数 。 
. 对 定理 1. 35 的 合理 性 证 明 ， 
(a) 解 释 为 什么 不 能 使 用 数学 归纳 法 ， 而 必须 求助 于 串 值 归纳 法 。 
(b) 给 出 证 明 中 注 明 “为 什么 ”的 原因 。 
(c) 完 成 最 后 应 用 证 明 规则 的 全 部 情况 分 析 ; 考察 图 1 2 中 自然 演绎 总 结 ， 确 定 哪 些 情 
况 还 没有 考虑 。 需 要 讨论 导出 规则 吗 ? 
. 通过 在 下 列 公式 中 找到 一 个 赋值 ， 使 得 F 的 左边 是 T， 而 右边 是 下 来 证 明 下 面 的 矢 列 不 
是 有 效 的 : 
(a)7pv(q>p)F > paq 
(b) 7 r>(pvq), ranq rq 
“(Op (go nF p>(r—q) 
(d)7p, pYqt~q 
(e)p>(7qvr), ark q>7p 
.对 于 下 面 每 个 无 效 矢 列 ， 给 出 自然 语言 中 判断 语句 的 例子 ， 其 中 原子 是 p、9 和 r+， 使 得 
前 提 为 真 ， 而 结论 为 假 。 
‘(apvgtp^g 
“(b) 7 p>7 qb > q> p 
(c)p>qt pvq 
(d)p—>(q Vr) (pq) 和 (peor) 
- 找 一 个 只 包含 原子 p、g 和 的 命题 逻辑 公式 6, RAM p 和 g BIW, Bog (pvr) 
是 真 的 时 ， 该 公式 是 真 的 。 
对 用 数学 归纳 法 ,证 明定 理 ((@ A (6, ^(…^ p) 1) 2H) 9 (6, (6,9 (6, 
We) ) ) 。 
. 证 明 下 列 需要 确保 命题 逻辑 完全 性 结果 的 矢 列 的 有 效 性 ; 
(a), ^ Q, Falp >e) 
(b) 一 中 ^m p, F $,>¢, 
(e)n p, ^ $, F 中 一 由 
(d)¢, ^ p: F $,>¢, 
(e) 76, 4, Falp, ^g) 
(f) 7 6, A7 由 上 一 (由 和 小) 
(g) 由 ^ Q: Falp, ^pa) 
(h) 一 由 ^n 中 上 (由 vd) 
(Dog, ^ Q 上 中 v 中 
() 一 只 Aod,F Yo 
(k)d, Ao, $Y dy 
.对 于 下 面 的 少 ，F 由 成 立 吗 ? 证明 你 的 回答 。 
(a) (pq) v(9 一 站 
(b) (Ca (p V (gp) ) )¥7(pq) ) > p 





58 





练习 1.5 


N ë e 


(a)gv(~pYr7) 


(hg Am rp 


U 


an 


(c)p Arq 


“(d) =g ^m r>a po . 
.一 个 命题 逻辑 的 完备 联结 词 集 是 使 每 个 命题 逻辑 公式 都 有 一 个 只 用 该 集合 中 联结 词 表示 


. 证 明 公 式 由 是 有 效 的 当 且 仅 当 T= 由 ， 其 中 T 是 LEM HKH pvp 的 缩写 。 
` 下 列 哪些 公式 语义 等 价 于 p 一 (g Yr)? 


的 等 价 公式 。 例 如 ， 集 合 {一 ，v | 是 一 个 命题 逻辑 的 完备 联结 词 集 ， 因 为 出 现 的 任何 ^ 
和 一 都 可 以 由 等 价 式 $ 一 yy 二 一 中 VY 炎 和 由 人 小 二 一 (一 上 Vv 一 上 ) 来 替换 。 
(a) {n ALL io, ~-| 和 | 一， 上 | 是 命题 逻辑 的 完备 联结 词 集 。( 对 后 者 ， 把 1 作 


为 矛盾 联结 词 。 


(b) 证 明 : 如 果 CC 1-，^，v， 一 ， 上 | 是 命题 逻辑 的 完备 联结 词 集 ， 那 么 ，- eC 或 
上 eC。( 提 示 : 假设 C 既 不 包含 ”也 不 包含 上 ， 中 是 只 由 C 中 联结 词 构建 的 公式 ， 对 


每 个 原子 都 赋值 T， 考 虑 由 的 真 值 。) 
(ole, ~n EZERU? 证 明 你 的 回答 。 
. 使 用 合理 性 和 完备 性 ,证 明 矢 列 由 ， 中 , ， 


p >y 是 重 言 式 。 


. 证 明 关系 = 是 


(a) 自 反 的 : 由 = 由 对 所 有 的 由 都 成 立 ; 
(b) 对 称 的 : p=y BM v=o; 
(c) 传 递 的 : $= 和 小 = AR b=7n. 


. HEAR: 对 于 = ， 


(a) AMV ERR: 
i 由 和 由 = 由 
bv 中 = 由 
(b)^ 和 vY 是 交换 的 : 
i 中 人 ^ 东 二 几 和 由 
id Vp=pvo 
(c)^ 和 ~ 是 结合 的 : 
LPACHA DI =H(HAP)AH 
id V(PVY nN =(OVH)VH 
(d) 人 ^ 和 v 是 吸收 的 : 
“Lb A(hY 0) =o 
ii. 6 V(b A 7) =o 
(e)^ 和 vY 是 分 配 的 : 
LbACHY N)=(bAY)Y(GA 7) 
“ii 6 V(b An) =(ob Vy)^(bY n) 
(f) 二 满足 双重 否定 : 6=--¢6, FA 


=, p, bb AME BLY p, >p, 
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(g)^ 和 v 满 足 德 摩根 律 : 
i BAY)= -Yy 
i WP VP) ETH ATY 
7. 基于 下 面 的 真 值 表 ， 构 建 CNF 形式 的 公式 : 
“(a) 


“(b) 





I 
加 3le 
| 





(c) 








~ Peay gay aa 
| 
i 
Sa ann 4 


"8. 写 出 递归 函数 IMPL_ FREE, 要 求 输入 一 个 命题 公式 (的 语法 分 析 树 )， 输 出 等 价 无 蕴涵 
公式 。 在 case 语句 中 需要 多 少子 句 ? 回忆 定义 1.27。 
“9. 计算 CNF(NNF(IMPL_ FREE =(p—>(>(q ^(= p—q4))))))o 
10. 对 CNF 形式 的 公式 语法 使 用 结构 归纳 法 证 明 在 调用 DISTR Af, ‘otherwise’ 情形 的 应 用 当 
且 仅 当 ni 和 Ne 都 是 式 (1-6) 的 类 型 D, 
11. 对 中 的 高 度 使 用 数学 归纳 法 证 明 调用 CNF(NNF(IMPL_ FREEd)) 返 回 由 的 结合 性 ， 如 








12. 
. 对 命题 逻辑 公式 p, WH CNF(NNF(IMPL_ FREE( 由 ) ) ) ， 解 释 为 什么 


果 后 者 是 CNF 形式 的 。 
为 什么 函数 CNF 和 DISTR 保持 NNF 不 变 ， 为 什么 这 一 点 是 重要 的 ? 


(a) 输 出 总 是 CNF 形式 的 
(b) 输 出 语义 等 价 于 由 
(c) 调 用 总 能 终止 。 


. 证 明 1.5.2 节 给 出 的 所 有 算法 对 任意 输入 与 前 置 条 件 相同 时 总 能 终止 。 你 能 形式 化 你 的 


论证 吗 ? 注意 ， 算 法 不 能 对 更 小 的 高 度 公式 再 次 调用 自身 。 例 如 ， 调 用 CNF(¢, Vv o) 
等 于 调用 DISTR(CNF($,), CNF(o,)), Mi CNF(¢,) RELL p 有 更 大 的 高 度 。 为 什么 
这 不 是 一 个 问题 呢 ? 


. 对 下 面 每 个 霍 恩 公 式 应 用 算法 HORN; 


(a) (p Aq ^w >L) >L) rp) AC Tr) A Tq) A( us) A( Tu) 

(b) (p Aq Awol)r(toL)r(rop)a( Tr) a( Tq) Ar ^ uw) A (us) A(T 0) 
(c) (pq sp) A(q Arp) A(p ^ ss) 

(d) (pq A s—+1 )ACg A rsp) A( Ts) 

Ce) (PsP) (Pa ^ Ps ^ Ps Pis) ACT Ps) A(Ps ^ PL) 

(1) (Tq) A(T 8) wv LL) A(p Ag A 81) A(v 8) AC Tr) A(rp) 

Cg) (Tq) A(T =s) A(wT ) A(p Ag ^ sv) A(v-8) AC Tr) A( rp) 





:如果 我 们 改变 霍 恩 公式 的 概念 ， 即 扩充 已 子 句 为 P::= 上 1 Tl pl apt, 解释 为 什么 


HORN 算法 不 能 正确 地 运行 。 


. 关于 稚 恩 公式 的 CNF 你 能 说 什么 ? 精确 地 说 ， 为 了 确保 有 一 个 等 价 的 霍 恩 公 式 ， 你 能 详 


细 说 明 CNF 的 句法 准则 吗 ? 你 能 非 形式 地 描述 从 一 个 表示 形式 到 另 一 个 表示 形式 的 转化 
程序 吗 ? 


练习 1.6 


1. 


对 式 (1-3) 的 中， 使 用 数学 归纳 法 证 明 : 
(a)7() 能 由 式 (1-10) 产 生 ， 

(b)7T(4$) 与 $ 有 相同 的 赋值 集合 ， 

(Op 为 真 的 赋值 集合 与 7(4$) 为 真 的 赋值 集合 相同 。 


"2. 证 明 图 1-14 的 所 有 规则 是 合理 的 : 如果 所 有 现在 的 标记 满足 式 (1-9) 不 变量 ,那么 这 个 


不 变量 对 由 规则 导出 的 约束 变 成 一 个 增加 的 标记 也 成 立 。 


- 在 图 1-16 中 ,我 们 探讨 了 确保 矢 列 p ^ grb progr 有 效 性 的 矛盾 。 用 线性 SAT 求解 机 


使 用 同样 的 方法 证 明 矢 列 -(p->g)v (rp) 是 有 效 的 。( 这 很 有 意思 ， 因 为 在 用 自然 演 经 
中 ， 用 证 明 规则 LEM 的 聪明 选择 证 明了 这 个 有 效 性 。 线 性 SAT 求解 机 不 用 做 任何 情况 
分 析 。) 


“4. 考虑 矢 列 p v q, poor F r。 确定 不 是 可 满足 的 DAG 当 且 仅 当 这 个 和 撩 列 是 有 效 的 。 用 


T， 记 DAG 的 根 结 点 ， 对 它 应 用 强制 律 ， 得 到 DAC 的 可 满足 性 的 一 个 证 据 。 在 某 种 
意义 上 解释 这 个 证 据 可 以 作为 p vg，p 一 r 上 7 不 是 有 效 的 理由 。 


. 在 某 种 意义 上 解释 这 一 章 中 给 出 的 可 以 检查 公式 是 否 重 言 式 的 SAT 求解 技术 。 
- 对 式 (1-10) 的 8， 能 从 7T(g) 的 DAG ROR p 1? 
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7. 考虑 将 初始 的 DAG 的 根 结 点 用 “1: F,” 标 记 的 修改 方法 。 在 这 种 情况 下 ， 

(a) 强 制 律 还 是 合理 的 吗 ? 如 果 是 ， 说 明 不 变量 。 

(b) 关 于 DAG 所 代表 的 公式 你 能 说 什么 ?如 果 
i, MAP BAR, 

i 计算 每 个 结 点 相 容 强制 约束 。 

. 给 定 一 个 任意 的 霍 恩 公式 $， 比 较 把 线性 SAT 求解 机 应 用 到 TA) 与 标记 算法 应 用 到 4$。 

讨论 两 种 方法 的 相同 和 不 同 。 

9. 考虑 图 1-20, TERA: 

(a) 它 的 检验 产生 矛盾 约束 。 
(b) 不 管 是 否 描 述 的 两 个 最 优化 都 是 成 立 的 ， 它 的 三 次 分 析 不 能 判断 可 满足 性 。 

10. 证 明 图 1-17 的 DAG 确实 是 一 个 获得 7($) 的 方法 ， 其 中 由 是 公式 (1-11) 。 

“11. 一 个 实现 者 可 能 要 考虑 对 三 次 SAT 求解 机 的 答案 可 能 依赖 检查 未 标记 结 点 或 使 用 图 1-14 
规则 的 特殊 次 序 。 给 出 半 形 式 化 的 论证 ， 说 明 为 什么 分 析 结 果 不 依赖 这 样 的 次 序 。 

12. 找 一 个 公式 由 ， 使 得 三 次 SAT 求解 机 不 能 确定 7(4) 的 可 满足 性 。 

13. 进一步 项 目 : 给 出 1. 6. 2 节 的 三 次 SAT 求解 机 的 完全 执行 方案 。 应 该 从 键盘 或 文件 读 公 
式 ; 应 该 假设 (分 别 ) 满 足 v 、^ 和 一 的 右 结 ; 计算 7($) 的 DAG; 执行 下 一 个 三 次 
aa EAA IL 

14. 证 明 这 一 节 描 述 的 三 次 SAT 求解 机 : 

(a) 对 所 有 句法 正确 的 输入 能 终止 ; 

(b) 在 第 一 个 永久 标记 后 满足 不 变量 式 (1-9); 

(c) 对 于 所 有 的 永久 标记 保持 式 (1-9); 

(d) 只 计算 正确 的 可 满足 性 证 据 ; 

(e) 计 算 正 确 的 “不 可 满足 的 ”答复 ; 

(E) 1. 6. 2 节 描 述 的 一 个 结 点 两 个 检验 运行 的 处 理 结果 的 两 个 修改 下 是 正确 的 。 


1.8 文献 注释 


逻辑 具有 悠久 的 历史 ， 至 少 可 以 追溯 到 2000 年 前 ， 但 本 书 以 及 现今 每 本 逻辑 教科 书 讲 
到 的 命题 逻辑 的 真 值 语 义 是 仅 在 大 约 160 年 前 由 G. Boole [ Boo54 ] 发 明 的 。 布 尔 使 用 符号 + 
Al 代表 析 取 与 合 取 。 

自然 演绎 由 G. Gentzen [ Gen69] 所 发 明 ， 并 由 D. Prawitz [ Pra65 ] 进一步 发 展 。 在 此 之 前 
存在 其 他 的 证 明 系 统 ， 值得 注意 的 是 引入 少量 公理 以 及 分 离 规 则 (modus ponens) ( 称 为 一 e) 的 
公理 系统 。 证 明 系 统 经 常 引入 尽 可 能 少 的 公理 ;并 且 仅 对 一 个 完备 的 联结 词 集 ， 例 如 二 和 一 。 
这 在 实际 使 用 时 比较 困难 。Gentzen 提出 处 理 ( 由 规则 i， 一 i 和 ve 所 使 用 的 ) 假 设 并 分 别 
处 理 所 有 的 联结 词 的 思想 改进 了 这 种 情形 。 

我 们 的 线性 和 三 次 SAT 求解 机 是 Stalmarck 方法 [SS90] 的 变化 ，Stalmarek 的 SAT 求解 机 
具有 瑞典 和 美国 的 专利 。 

进一步 的 历史 注解 以 及 其 他 关于 命题 逻辑 和 谓词 逻辑 的 现代 书籍 可 以 在 第 2 章 结尾 的 文 
献 注 释 中 找到 。 对 算法 和 数据 结构 的 介绍 可 参看 [ Wei98 ] 。 


Go 





第 2 章 谓词 逻辑 


2.1 我 们 需要 更 丰富 的 语言 


在 第 1 章 中 ,我 们 从 三 个 不 同 角 度 讨论 了 命题 逻辑 ， 这 三 个 角度 分 别 是 : 证 明 论 (自然 
演义 演算 )、 句 法 (公式 的 树 状 性 质 ) 和 语义 (这 些 公式 的 实际 含义 )。 从 这 三 个 角度 研究 命题 
逻辑 是 因为 判断 语句 ， 即 关于 现实 世界 论述 的 每 个 赋值 或 模式 都 能 给 出 真 值 ， 为 出 发 点 的 。 

我 们 通过 指出 命题 逻辑 在 对 判断 语句 编码 方面 的 局 限 性 开始 这 一 章 。 命 题 逻 辑 在 处 理 语 
名 成 分 中 有 诸如 否 、 并 、 或 和 如 果 ……… 那么 时 ， 取 得 了 令 人 满意 的 结果 ， 但 人 类 语言 比 这 丰 
富 的 多 , 我 们 如 何 处 理 如 存在 …… ， 所 有 ……: ， 在 …… P, MRA WE? 命题 逻辑 有 其 明 
显 的 局 限 性 ， 我 们 需要 更 精确 微妙 的 谓词 逻辑 (predicate logic) RRA A, Bie Bw 
BK a — Br ef 4H (first-order logic) 。 

让 我 们 考虑 下 面 的 判断 语句 : 

每 个 学 生 都 比 他 的 某 个 老师 年 轻 。 (2-1) 

在 命题 逻辑 中 ， 我 们 将 这 个 论断 视 为 命题 原子 p。 然 而 ， 它 却 无 法 反映 本 语句 更 加 精确 
的 逻辑 结构 。 这 个 语句 的 含义 是 什么 ? 它 是 关于 "是 一 个 学 生 、 是 一 个 老师 和 比 某 个 人 更 年 
BWR. RHERENSRER, Alt, RNGBA-TPREABRKARHMKEW 
机 制 。 

现在 我 们 使 用 谓词 来 达到 这 个 目的 。 例 如 ， 用 S( andy) 表示 Andy 是 一 个 学 生 ,，I(paul) 
表示 Paul 是 一 位 老师 。 类 似 地 ， 用 Y(andy, paul) RIR Andy 比 paul 年 轻 。 符 号 S, IA YEK 
为 谓词 。 当 然 我 们 必须 清楚 它们 的 含义 ， 如 了 也 可 能 表示 第 二 个 人 比 第 一 个 人 年 轻 ， 因 此 我 
们 需要 精确 地 知道 这 些 符 号 的 准确 含义 。 

有 了 谓词 这 样 的 处 理工 具 ， 我 们 依然 需要 将 上 述 谈 及 “全 部 和 部 分 ”的 语句 成 分 形式 化 。 
显然 ， 这 个 语句 涉及 到 了 组 成 某 个 学 术 团 体 的 个 体 ， 如 堪萨斯 州立 大 学 或 伯明翰 大 学 ， 这 句 
话 的 含义 是 对 于 这 所 大 学 里 的 每 一 个 学 生 ， 都 有 大 学 里 的 一 位 老师 ， 这 个 学 生 比 这 位 老师 
年 轻 。 

这 些 谓词 还 不 足以 让 我 们 表达 语句 (2-1) 的 含义 。 事 实 上 ， 我们 不 想 将 5(， ) 中 的 .用 
每 个 同学 的 名 字 替 换 得 到 的 实例 都 写 出 来 。 类 似 地 ， 当 我 们 试图 对 于 某 程 序 的 执行 编码 时 ， 
如 果 将 计算 机 每 个 情况 都 写 下 来 将 是 一 件 非常 麻烦 的 事情 。 因 此 ， 需 要 引信 变量 的 概念 。 变 
MICA u, v, w, x, y, z, Bx, y3, Us, oo, RIND UIE NMSA (I — TP ye 
或 一 个 程序 的 状态 ) 的 占 位 符 (place holder) 。 引 和 变量 后 ， 我 们 可 以 更 加 形式 地 说 明 S$、 和 
了 的 含义 : 

S(x): x 是 一 个 学 生 
I(x): x 是 一 位 老师 
Y(x, y): x 比 y 年 轻 

注意 ， 变 量 的 名 字 其 实 并 不 重要 ， 只 要 在 上 下 文中 一 致 地 使 用 这 些 变 量 的 名 称 。 我 们 可 

以 把 了 要 表达 的 含义 写作 : 
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Ky): 7 是 一 位 老师 
或 等 价 地 写作 : 
Iz): z 是 一 位 老师 
变量 仅仅 是 表述 对 象 的 占 位 符 。 变 量 的 使 用 依然 无 法 抓 住 上 述 例 句 的 本 质 。 我 们 需要 把 
“每 个 学 生 * 都 比 某 个 老师 y 年 轻 ” 这 样 的 含义 表述 出 来 。 这 里 我 们 需要 引 和 人 量词 Y( 读 作 : 
对 所 有 的 ) 和 3 了 ( 读 作 : 存在 或 对 某 个 )， 它们 总 是 紧 跟 变量 出 现 ， 如 Vx (对 所 有 x) 或 3z 
(存在 z 或 有 z)。 现 在 我 们 完全 用 符号 的 形式 写 出 上 述 例 句 : 
Vx (S(x) =(3 yy) A Y(x, y)))) 
事实 上 ， 这 种 代码 只 是 原 句 的 一 种 表述 。 在 此 例 中 ， 将 上 述 形式 化 语言 重新 翻译 过 
来 即 : 
对 任意 4， 车 是 一 个 学 生 ， 则 存在 业 个 y,，y 是 一 位 老师 ， 使 得 * 比 y 年 轻 。 


不 同 的 谓词 可 以 有 不 同 个 数 的 变量 。 谓 词 5 和 7 只 有 一 个 变量 ( 称 为 一 元 谓词 ) ， 而 谓词 
了 需要 两 个 变量 ( 称 为 二 元 谓词 ) 。 在 谓词 逻辑 中 ， 可 能 出 现任 意 有 限 个 变量 的 谓词 。 

下 面 看 另外 一 个 语句 例子 : - l 

不 是 所 有 的 鸟 都 可 以 飞 。 

对 此 句 我 们 选择 一 元 谓词 B 和 五， 变量 表示 为 

BCx):x 是 一 只 鸟 
F(x): x AIKA 

语句 “不 是 所 有 的 鸟 都 可 以 飞 ” 可 以 编码 为 : 
7(V «(B(«)—>F(«))) 

HME: “RREESRAU KH, RARER”. RH, KTS 
码 为 : | 

d«(B(«)A7 F(x)) 
即 :“ 存 在 一 个 x*, x 是 鸟 ， 但 不 能 飞 ”。 注 意 ,第 一 种 表述 方法 比 上 名 的 语言 结构 更 为 贴近 
些 。 在 我 们 现实 生活 的 世界 中 ， 这 两 个 公式 都 应 该 赋值 为 T， 例 如 企 各 是 鸟 但 不 会 飞 。 简 言 
之 ， 我 们 阐述 了 这 些 公式 在 一 般 情 况 下 要 表达 的 语义 。 我 们 还 将 解释 为 什么 上 述 两 个 公式 实 
际 上 是 语义 等 价 的 。 

在 谓词 逻辑 中 ， 把 句子 表达 的 复杂 事实 编码 为 逻辑 公式 是 很 重要 的 ， 例 如 在 使 用 UML 
进行 软件 设计 或 在 安全 敏感 系统 的 形式 说 明 中 ， 需 要 比 命题 逻辑 情形 更 加 谨慎 。 然 而 这 种 翻 
译 一 经 完成 我们 的 主要 目标 即 为 对 那些 公式 中 表达 的 相关 信息 进行 符号 地 (上 ) 或 语义 地 
(F ) 推 导 。 

在 2.3 节 中 ， 我 们 会 扩充 命题 逻辑 中 的 自然 演绎 演算 ， 使 它 也 能 够 涵盖 谓词 逻辑 中 的 还 
辑 公式 。 通 过 这 种 方式 ， 我 们 也 能 像 第 1 意 一 样 ， 类 似 地 证 明 序 列 $8, ，$,，…， p, Ey RI 
有 效 性 。 

在 2.4 节 ， 我 们 把 第 | 章 的 赋值 理论 推广 到 适当 的 模型 概念 、 现 实 或 人 工 的 世界 ， 在 那 
里 谓词 公式 可 以 是 真 的 或 假 的 ， 可 以 定义 语义 推导 6, 6, e, 6, Edo 

后 者 的 含义 是 ， 在 任意 给 定 的 模型 中 ， 如 果 d, d e, d RY, We 在 这 个 模型 中 
也 成 立 。 在 这 种 情形 下 ,我 们 说 光 可 由 o,, 6, -, 6, 语义 推导 出 来 (semantically 
entailed) 。 尽 管 这 里 语义 推导 的 定义 与 命题 逻辑 中 的 定义 1. 34 非常 相近 ， 但 是 在 处 理 谓 词 
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(和 函数 ) 时 ,谓词 弃 辑 公式 的 赋值 过 程 和 命 古 逻辑 中 的 真 值 计算 是 不 同 的 。 我 们 将 在 2.4 
节 做 详细 讨论 。 
证 明 谓词 逻辑 中 自然 演绎 演算 对 于 语义 推导 的 合理 性 和 完备 性 超出 了 本 书 的 范围 ， 在 这 
里 不 做 装 述 。 而 事实 上 对 谓词 演算 的 公式 来 说 ， 有 
$i by, Fwy KERK hi, pa, , 6, FY 
这 个 事实 的 第 一 个 证 明 是 由 数学 家 K. Gödel 做 出 的 。 
谓词 逻辑 必须 支持 怎样 的 推理 呢 ? 为 了 找到 一 点 感觉 ， 我 们 考虑 下 面 的 论证 : 
没有 书 是 气体 的 。 词 典 是 蔬 。 所 以 没有 词典 是 气体 的 。 
我 们 选择 的 谓词 是 : 
B(x): x 是 书 
G(x) :x 是 气体 的 
D(x): x 是 词典 
很 显然 ， 我 们 需要 建立 -一 套 证 明和 语法 推导 的 理论 ， 以 便 分 别 推 导 下 面 两 个 公式 的 有 
效 性 : 
= Aa (B(x) A G(x)), Vr(D(x) > B(x)) > Ax(D(x) ^ G(x)) 
7 Ax (B(x) 4 G(x)), Vx(D(x) > B(x)) F= 3x(D(x) ^ G(x)) 
试验 证 以 上 符号 形式 的 矢 列表 达 了 上 面 的 陈述 。 谓 词 逻辑 对 命题 逻辑 的 扩充 不 仅 表现 在 
量词 的 引入 ， 而 且 表 现在 另 一 个 概念 函数 符号 (function symbols) 上 。 考 虑 下 面 的 判断 名 ， 
每 个 孩子 都 比 其 母亲 年 轻 。 
用 谓词 表达 为 : 
VxVy(C(x) A M(y,x) -一 了 (xy)) 
其 中 C(x) Rm x 是 一 个 小 孩 ，W(*，7y) RAR x 是 y WAR, V(x, DER x thy 年轻 ( 注 意 ， 
我 们 用 M(y，*) 表 示 y 是 x 的 母亲 ， 而 不 是 W(*，y) ) 。 编 码 后 ， 语 名 的 含义 为 ,对 所 有 的 
孩子 * 和 他 们 的 任意 母亲 y, x 比 y 年 轻 。 说 “x 的 任意 一 个 母亲 ”不 是 很 文雅 ， 因 为 我 们 知 
道 ， 每 一 个 人 有 且 仅 有 一 个 母亲 ?。 在 下 面 这 个 例子 中 ， 这 种 不 雅 在 把 “母亲 ”作为 一 个 谓词 
编码 后 更 加 明显 ， 考 虑 下 面 句 子 : 
Andy 和 Paul 有 共同 的 祖母 。 
我 们 用 “变量 "a 和 5p 分 别 代表 Andy 和 Paul， 二 元 谓词 M 同 前 ， 上 面 的 句子 编码 后 得 
VaVyWVuVo(M(x,7) AM (y,a) AM (u,v) A M(v,p) x = u) 
这 个 公式 的 含义 是 : 车 y 和 "分 别 是 4ndy 和 Paul WAX, Hx Mu 又 分 别 是 y AM o 的 母亲 
CBN, 分别 是 Andy 和 Paul 的 祖母 ) ， 则 * 和 w 是 同一 个 人 。 注 意 ， 这 里 用 到 谓词 逻辑 中 一 个 特 
殊 谓词 相等 ( 记 作 = ) ， 它 是 一 个 二 元 谓词 ， 也 就 是 说 它 有 两 个 变量 。 和 其 他 谓词 不 同 的 是 ， 它 
通常 写 在 变量 之 间 ， 而 不 是 写 在 前 面 ; 即 我 们 把 *，y 相等 写成 x*=y， 而 不 是 (x, 7y) 。 
谓词 逻辑 中 的 函数 符号 给 了 我 们 一 种 能 够 避免 上 述 拙劣 编码 的 方法 ， 因为 我 们 可 以 用 更 
直接 的 方式 表示 “y 的 母亲 ”。 在 说 明 “x 是 y 的 母亲 ”时 ， 我 们 不 写 M(x， y), MA m(y) 表 
示 y 的 母亲 。 符 号 m 是 一 个 函数 符号 : 它 有 一 个 变量 ， 其 返回 值 是 这 个 变量 的 母亲 。 使 用 
m， 上 面 两 个 句子 比 使 用 M 有 更 简单 的 编码 : 
Vx(C(x)—Y(x, m(%))) 





名 ”我们 假设 只 讨论 生母 ， 不 考虑 养母 、 继 母 等 。 
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它 表示 每 个 孩子 都 比 其 母亲 年 轻 。 注 意 ， 只 需要 一 个 而 不 是 两 个 变量 。 表 示 Andy 和 Paul 有 
同一 个 祖母 ， 就 更 简单 了 ， 即 写作 : 

m(m(a)) =m(m(p) ) 
这 个 表达 式 非常 直接 地 说 明了 Andy 的 祖母 和 Paul 的 祖母 是 同一 个 人 。 

我 们 可 以 不 用 函数 符号 ， 而 使 用 谓词 符号 。 然 而 ， 使 用 函数 符号 通常 是 更 经 济 的 ， 因 为 
我 们 得 到 了 更 简洁 的 编码 。 不 过 函数 符号 仅 用 于 表达 一 个 单独 对 象 的 情形 。 在 上 述 表 述 中 所 
依据 的 事实 是 : 每 个 人 只 能 有 唯一 的 母亲 ， 所 以 当 我 们 谈 及 x 的 母亲 时 不 会 有 任何 歧义 的 危 
险 ( 例 如 zx 没有 母亲 或 有 两 个 母亲 )。 基 于 此 ， 我 们 不 能 用 函数 符号 b( . ) 表示“ 兄弟 ”。 用 
函数 符号 ba) 表示 x 的 兄弟 是 没有 意义 的 ， 因 为 x 可 能 没有 兄弟 也 可 能 有 若干 个 兄弟 。 因 
此 “兄弟 ”只 能 用 二 元 谓词 编码 。 

为 了 进一步 举例 说 明 这 一 点 ,我 们 看 : A Mary 有 几 个 兄弟 ， 则 论断 “Ann 喜欢 Mary 的 
兄弟 ”的 语义 就 很 模糊 了 。 有 可 能 Ann 喜欢 Mary 的 一 个 兄弟 ， 我 们 将 其 写 为 ; 

dx(B(x, m)^ L(a, x)) 
其 中 B 和 工分 别 表示 “是 兄弟 ”和 “喜欢 ”，a 和 m 分 别 表示 An 和 Mary。 此 句 的 含义 是 ， 存 
在 Mary 的 兄弟 x*，Ann 喜欢 x, Bb, Æ Ann 喜欢 Mary 所 有 的 兄弟 ， 则 写 为 ; 

Vx(B(x, m)—L(a, x))` 

其 含义 是 Ann 喜欢 Mary 的 任意 兄弟 x。 形 如 “你 最 年 轻 的 兄弟 ”这 样 的 “函数 ”未必 总 有 
返回 值 ， 需 要 谓词 表达 式 。 

不 同 的 函数 符号 可 以 有 不 同 个 数 的 自 变 量 。 当 然 函 数 也 可 以 没有 自 变量 ， 称 为 常量 : 上 
BH) a 和 p 分 别 是 关于 Andy 和 Paul 的 常量 。 在 涉及 到 学 生 以 及 他 们 在 不 同 课程 取得 的 分 数 
这 样 的 域 中 ， 可 以 使 用 具有 两 个 自 变量 的 二 元 函数 符号 g( : ，. ) : g(*，y) 指 的 是 学 生 > 
在 课程 y 取得 的 分 数 。 


2.2 作为 形式 语言 的 谓词 逻辑 


前 一 节 的 讨论 旨 在 给 我 们 一 个 印象 ， 即 如 何 将 一 个 语句 编码 为 谓词 逻辑 的 公式 。 本 节 
中 ， 我 们 将 更 加 精确 地 给 出 构成 谓词 逻辑 公式 的 语法 规则 。 由 于 谓词 逻辑 的 强大 表达 能 力 ， 
它 的 语言 比 命题 逻辑 复杂 得 多 。 

首先 需要 注意 ， 在 谓词 逻辑 公式 中 涉及 两 种 事物 。 第 一 种 是 我 们 谈 及 的 对 象 , 诸如 a 和 
PpP( 指 Andy 和 Paul) 这 样 的 个 体 ， 以 及 像 x Ho 的 变量 。 函数 符号 也 是 我 们 谈 及 对 象 的 一 种 方 
A: 例如 m(a) 和 g(x, y) 也 是 对 象 。 在 谓词 逻辑 中 ， 用 来 表示 对 象 的 表达 式 称 为 项 
(terms ) 。 

谓词 逻辑 中 的 另 一 种 是 表示 真 值 ， 这 类 表达 式 是 公式 ， 例 如 了 (zx， m(x)) BAK, RE 
x. m(x) PEM, 

谓词 词汇 由 三 个 集合 构成 : HAASE, BRASESM HARE RC, 每 个 谓词 符号 
和 函数 符号 都 是 一 元 ， 即 谓词 符号 和 函数 符号 所 需要 的 变量 个 数 。 事实 上 ， 常 值 符号 可 以 视 
为 没有 任何 变量 的 函数 符号 (我 们 甚至 去 掉 表 示 变 量 的 括号 ) 。 因 此 ， 常 值 与 必须 有 变量 的 
“真正 ”函数 一 起 均 属 于 集合 入。 为 方便 起 见 ， 从 现在 起 ， 我 们 丢弃 常 值 符号 集 c， 将 常 值 看 
作为 0 元 ， 即 零 元 (nullary ) 函数 。 
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2.2.1 项 


语言 的 项 由 变量 、 常 值 符号 以 及 作用 其 上 的 函数 构成 。 函 数 可 以 租 套 如 m(m(x) ) 或 
g(m(a), c): 表示 Andy 的 母亲 在 课程 取得 的 分 数 。 

定义 2.1 项 定义 如 下 : 

。 任何 变量 都 是 项 。 

。 若 ce 下 是 零 元 函数 ， 则 “是 项 。 

. Ëh, h, 0, t, 是 项 ,， 且 fe 了 的 元 n>0,， 则 f(ti,，t,，…， t,) eM, 

。 没有 其 他 形式 的 项 。 

用 Backus Naur 范式 ， 可 以 写 ， 

tics xl cl fCt,-,t) 
RHE « 取 遍 一 个 变量 的 集合 var, c 取 遍 站 中 的 零 元 函数 符号 ，/ 取 遍 丰 中 的 元 m>0 的 符号 。 
值得 关注 的 一 些 要 点 : 

。 项 的 第 一 批 构建 块 内 容 是 常量 ( 零 元 函数 ) 和 变量 

。 更 复杂 的 项 是 由 以 前 构造 好 的 项 与 其 元 数 相 匹配 数目 的 函数 符号 得 到 的 ; 

。 项 的 概念 依赖 于 集合 入。 如 果 改 变 了 和 丰 ， 就 改变 了 项 的 集合 。 

例 2.2 假设 n, /和 &g 分 别 是 零 元 、 一 元 和 二 元 函数 符号 ， 则 g(f(n), n) 和 f(g(n， 
Sa) ÈR, 但 g(n) 和 f/(f(n)，n) 不 是 (与 其 元 数 不 符 )。 假 设 0，1，… 是 零 元 函数 ，s 是 
一 元 函数 ，+ 、- 和 * 是 二 元 函数 ， 则 * -(2，+ (s(x),， y)) ，x%) 是 项 ， 它 的 语法 分 析 树 
如 图 2-14 所 示 。 通 常情 况 下 ， 二 元 符号 以 中 缀 而 非 前 级 形式 出 现 。 因 此 该 项 一 般 写 为 (2 - 
(s(x) +y)) * xo 


2.2.2 公式 


谓词 集 P 和 函数 符号 集 和 的 选择 分 别 由 我 们 想 描述 的 内 容 决 定 。 例 如 ， 如 果 要 处 理 一 个 
关于 家 族 之 间 关 系 的 数据 库 ， 可 以 考虑 刀 = | 久 ，，S，D| ， 它 们 分 别 表 示 是 男性 ， 是 女性 ， 
oe HLF, Be WL, AR, FAM 是 一 元 谓词 (只 有 一 个 变量 ), 而 D 和 5 是 
二 元 谓词 (有 两 个 变量 )。 类 似 地 ， 可 以 定义 函数 集合 三 = {是 …… 的 母亲 ， 是 …… 的 父亲 | 。 

现在 我 们 已 经 知道 F 上 项 的 含义 。 有 了 这 些 知 识 ， 就 可 以 定义 谓词 逻辑 公式 了 。 

定义 2.3 应 用 前 面 定义 的 直上 项 的 集合 ， 递归 地 定义 (天 ，P) 上 的 公式 集 如 下 : 

。 E Pe Pinel WRAS, 4,6, +, n BFEWH, MPO, n, =, 1) BAR, 

。 Ho BAR, 则 (一 4) 也 是 公式 。 

HB bMP BAX, MAY), (OV PHA dy) BEAR, 

。 若 由 是 公式 , x 是 变量 , 则 ( Yx$) 和 (x4$) 也 是 公式 。 

。 没有 其 他 形式 的 公式 。 
注意 ， 谓 词 的 变量 总 是 项 。 这 一 点 在 谓词 人 逻辑 的 BNF 范式 中 也 已 看 到 : 

bi::=Plii, bys tL) 1 (7b) 1 (O44) 1 (PY OH) 1 (G5) | (Va) | (Axp) (2-2) 
其 中 pe PH n=l 元 的 谓词 符号 ,i 是 三 上 的 项 ,x 是 变量 。 在 ::= 的 右边 ， 的 每 次 出 现 都 
表示 由 上 述 规则 构造 出 来 的 任意 公式 ( 零 元 谓词 符号 的 作用 是 什么 ?) 

约定 2.4 为 方便 起 见 ， 我 们 保留 与 约定 1.3 一 致 的 绑 定 优先 级 ， 并 增加 约定 ， Vy 与 
dy 与 "有 相同 的 绑 定 优先 级 。 因 此 ， 优 先 顺 序 为 ; 

。 一 、VY 和 3y 绑 定 优先 级 最 高 ; 
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。 其 次 为 v 和 和 ^; 
。 然后 是 一 ， 它 是 右 结合 的 。 
只 要 不 致 引起 歧义 ,我 们 经 常 省 去 关于 量词 的 括号 。 | 
谓词 逻辑 公式 可 以 用 语法 分 析 树 表示 。 例 如 ， 图 2-1 的 分 析 树 表示 公式 Vx((P(x) 一 
Q(%))A S(x, y)). 


图 2-1 一 个 谓词 逻辑 公式 的 语法 分 析 树 


例 2.5 将 下 面 语句 翻译 成 谓词 逻辑 公式 : 
我 父亲 的 每 个 儿子 都 是 我 的 兄弟 。 
和 以 前 一 样 ， 需 要 选择 把 “父亲 ”表示 成 一 个 谓词 还 是 一 个 函数 符号 。 
1. 作为 一 个 谓词 。 选 择 常量 m 表示 “我 "， 因 此 ，m 是 项 ， 进 而 选择 谓词 集 {5，F，B| ， 其 中 
S(x, y): x 是 y 的 儿子 
F(x, y): x 是 y 的 父亲 
B(x, y): «By WRB 
上 述 句 子 符号 编码 后 得 
VxVy(F(x,m) A S(y,%) — B(y,m)) (2-3) 
它 的 含义 是 :“ 对 所 有 * Ay, Bx 是 m 的 父亲 ， 7 是 x 的 儿子 ,， Wy em 的 兄弟 。” 
2. 作为 一 个 函数 。 保持 m、S 和 B 与 上 面 一 致 ， 用 /表示 一 个 变量 的 函数 ， 返回 值 是 该 变量 的 父亲 。 
注意 ， 这 样 做 是 因为 父亲 存在 且 唯 一 ， 所 以 /确实 是 一 个 函数 ， 而 不 仅仅 是 一 个 关系 。 
上 述 语 句 经 符号 编码 后 得 
V«(S(x,f(m)) — B(x,m)) (2-4) 
它 的 含义 是 : 对 所 有 的 x*， 若 * 是 m 的 父亲 的 儿子 ， 则 x 是 m 的 兄弟 。 因为 它 只 涉及 一 个 量词 ， 所 以 没有 
式 (2-3) 那 么 复杂 。 
形式 规约 需要 领域 的 特定 知识 (domain-specific knowledge) 。 领 域 专家 们 经 常 不 能 将 这 类 
知识 明确 化 ， 因此 领域 专家 可 能 会 忽略 一 些 对 模型 或 实现 来 讲 非常 重要 的 约束 条 件 。 例如 ， 
式 (2 -3) 和 式 (2 -4) 看 上 去 是 正确 的 ， 但 当 x 和 m 的 值 相 等 怎么 办 ? 如 果 血 缘 关 系 领域 的 
知识 并 非常 识 ， 那么 专家 可 能 不 会 意识 到 一 个 人 不 能 是 他 自己 的 兄弟 。 于 是 ， 式 (2-3) 和 
式 (2-4) 并 非 完 全 正确 ! 








2.2.3 自由 变量 和 约束 变量 


变量 和 量词 的 引入 使 我 们 可 以 表达 所 有 和 某 些 的 含义 。 直 观 地 说 ， 为 证 明 Yx@(x) 为 
真 ， 相 当 于 将 x 用 任何 可 能 的 取 值 来 代替 ,检测 0 对 每 一 个 这 样 的 代 人 均 成 立 。 公 式 为 
“ 真 "包含 两 层 重 要 的 、 但 不 同 的 意义 。 首 先 ， 如 果 对 涉及 的 所 有 谓词 和 函数 符号 赋 以 具体 
含义 ， 则 我 们 有 一 个 模型 ， 并 可 以 检测 在 这 个 特定 模型 中 公式 是 否 为 真 。 例 如 ， 若 一 个 公式 
是 一 个 硬件 线路 要 求 的 行为 编码 ， 那 么 ， 我 们 要 知道 是 否 它 对 线路 模型 是 真 的。 其 次 ， 有 时 
人 们 需要 保证 某 个 公式 对 所 有 模型 都 为 真 。 考 虑 关于 常量 e 的 公式 P(ec) ^VYy(P(y) 一 
QU)) 一 0o(c)。 显 然 ， 无 论 考虑 什么 样 的 模型 ， 这 个 公式 都 应 该 是 真 的 。 公 式 为 真 的 第 二 
层 含义 是 2. 3 节 讨 论 的 内 容 。 

遗憾 的 是 ， 如 果 要 在 一 个 特定 模型 中 形式 地 定义 公式 为 真 ， 则 更 为 复杂 。 在 理想 情况 
下 ， 我 们 寻求 一 个 定义 ， 可 以 用 来 编写 验证 公式 在 特定 模型 中 是 否 成 立 的 计算 机 程序 。 首 
先 ， 我 们 需要 理解 以 不 同方 式 出 现 的 变量 。 考 虑 公式 ， 

Vx( (P(x) >Q(«)) A S(x, y)) 

与 命题 公式 的 情形 一 样 ， 画 出 该 公式 的 语法 分 析 树 ， 但 需要 增加 两 类 结 点 : 

。 量词 Yx Ay Pha, WOME, RRA. 

。 对 一 般 形 如 P(t ，t,，…， 4) 的 谓词 表达 式 ， 以 符号 P 作为 一 个 结 点 ,但 现在 P 有 n 棵 子 树 ， 即 项 
re tay ty t, 的 语法 分 析 树 。 

因此 ， 在 上 面 的 特殊 情况 下 ， 存 在 如 图 2-1 所 示 的 语法 分 析 树 。 可 以 发 现 变量 出 现在 两 
种 不 同 的 位 置 : 第 一 ， 在 像 Yx 和 3z 的 结 点 中 ， 总 出 现在 量词 VY 各 后 面 ; 这 样 的 结 点 总 
是 只 有 一 棵 子 树 ， 它 包含 了 对 应 量词 的 作用 范围 。 

变量 出 现 的 另 一 种 方式 是 包含 变量 的 叶 结 点 。 若 变量 是 叶 结 点 ， 则 它们 代表 仍旧 需要 具 
体 化 的 值 。 这 主要 有 两 种 形式 : 

L 在 图 2-1 所 示 的 例子 中 ， 有 三 个 叶 结 点 *。 如 果 从 叶 结 点 x 的 任意 一 个 出 发 向 上 遍历 ， 都 会 遇 到 量 
词 Vx。 这 意味 着 x 的 出 现实 际 上 受到 了 Vx 的 约束 ， 因 此 ， 它 们 表示 或 代表 了 x 的 任意 可 能 值 。 

2. 在 向 上 遍历 的 过 程 中 ， 叶 结 点 y 所 遇 到 的 唯一 量词 是 Vx， 但 是 * 和 y 没有 任何 关系 ; * 和 y 是 两 个 
不 同 的 占 位 符 。 所 以 在 这 个 公式 里 ，y 是 自由 的 。 这 意味 着 它 的 值 需要 一 些 附加 信息 才能 确定 。 例 如 ， 内 
存 位 置 上 的 内 容 。 

定义 2.6 设 由 是 谓词 逻辑 中 的 公式 。 称 * 在 由 中 的 一 次 出 现 是 自由 的 ， 如 果 * 是 由 的 
语法 分 析 树 中 的 一 个 叶 结 点 ， 而 且 不 存在 从 结 点 * 到 Vx 或 3x 的 向 上 路 径 。 否 则 ， 称 * 的 
出 现 是 约束 的 。 对 V xg 或 3x$， 我 们 称 除去 d 的 任何 形 如 Vay 或 jy 的 子 公式 的 由 分 别 
是 Vx 或 jx 的 作用 范围 ， 

这 样 ， 如 果 * 出 现在 公式 由 中 ， 当 且 仅 当 * 在 某 个 Vx 或 3x 的 作用 范围 内 它 是 约束 的 ， 
否则 是 自由 的 。 从 语法 分 析 树 角度 看 ,量词 的 作用 范围 只 是 量词 的 一 棵 子 树 减 去 任何 重复 引 
和 人 := 的 量词 的 子 树 。 例 如 ，Vzx 在 公式 Vx(P(x) 一 3xQ(x) ) 的 作用 范围 是 P(x)。 一 个 变量 
在 公式 中 的 出 现 可 能 既是 自由 的 ， 也 是 受 约束 的 。 考 虑 公式 : 

(Vx(P(x) ^ Q(x))) > (> P(x) v Q(y)) 
它 的 语法 分 析 树 如 图 2-2 所 示 。 在 Vx 的 子 树 中 两 个 x 叶 结 点 是 约束 出 现 的 ， 因 为 它们 在 Vx 
的 作用 范围 内 ,但 在 一 的 右 子 树 中 ， 叶 结 点 x 是 自由 出 现 的 ， 因 为 这 里 的 x 不 在 任何 量词 
Vx 或 jx 的 作用 范围 内 。 然 而 ,注意 单个 叶 结 点 要 么 在 某 量 词 的 作用 范围 内 ， 要 么 不 在 。 


t 
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因此 变量 的 单个 出 现 或 者 是 自由 的 ,或 者 是 受 约束 的 ， 不 可 能 同时 是 自由 的 又 是 受 约束 的 。 





约束 约束 自由 
图 2-2 ”一 个 谓词 逻辑 公式 的 语法 分 析 树 ， 说 明 变 量 的 自由 出 现 和 约束 出 现 


2.2.4 RR 


变量 只 是 占 位 符 ， 所 以 我 们 必须 用 更 具体 的 信息 替代 它 ， 使 其 具有 某 种 含义 。 从 语法 角 
度 来 讲 ， 我 们 经 常 需要 用 一 个 完全 项 : 的 语法 分 析 树 去 代 换 叶 结 点 *。 由 公式 的 定义 ， 对 % 
的 代 换 只 能 是 项 ， 不 会 是 谓词 表达 式 ， 或 更 复杂 的 公式 ， 因 为 * 只 是 谓词 符号 的 项 (作为 谓 
词 符号 的 变量 出 现 ) ， 而 在 语法 分 析 树 中 ， 谓 词 比 变量 高 一 个 级 别 ( 见 定义 2. 1 和 式 (2-2) 中 
的 语法 ) 。 在 用 上 代 换 * 时 ， 必 须 避 开 那 些 受 约束 的 变量 *， 因 为 它们 处 在 某 个 Vz 或 jx 的 
作用 范围 之 内 ， 分 别 表示 某 些 非特 指 的 或 所 有 的 值 。 

定义 2.7 给 定 变量 WAAR o, EX 由 [tx] 为 用 上 代替 由 中 变量 * 的 每 个 自由 
出 现 而 得 到 的 公式 。 

通过 一 些 例子 很 容易 理解 变量 代 换 。 设 /是 二 元 函数 符号 ， 由 是 如 图 2-1 所 示 语 法 分 析 
树 的 公式 。 则 用 x，y) 是 项 ， 而 $[f(x，y)/x] 依 然 是 $8。 这 个 结果 是 正确 的 ， 因为 由 中 所 有 
* 的 出 现 都 是 约束 的 ， 因 此 它们 当中 没有 一 个 被 代 换 。 

现在 考虑 图 2-2 的 语法 分 析 树 的 公式 $B。 此 时 ,5 中 的 x 有 一 个 自由 出 现 ， 所 以 用 
九 z，7) 的 语法 分 析 树 代 换 那个 自由 叶 结 点 *， 得 到 图 2-3 所 示 的 语法 分 析 树 。 TER, SAR 
的 x 叶 结 点 在 这 个 操作 中 并 没有 受到 影响 。 你 可 以 看 到 代 换 过 程 是 直接 的 ， 但 要 求 代 换 只 能 “ 
作用 到 自由 出 现 的 变量 。 

关于 记号 的 解释 : $[t/x] 实 际 意味 着 对 由 实施 运算 [ zx] 所 得 到 的 公式 。 严格 来 讲 ， 符 
号 链 [i/x] 并 不 是 一 个 逻辑 公式 ， 如 果 由 首先 是 公式 ， 那 么 ， 其 结果 是 一 个 公式 。 

遗憾 的 是 ， 变 量 代 换 也 会 产生 意料 之 外 的 副作用 。 在 实施 代 换 [i/x] 的 过 程 中 ,项 1 可 能 
包含 变量 y， 其 中 * 在 由 中 的 自由 出 现 处 于 由 中 Yy 或 3y 的 作用 范围 内 。 执行 代 换 $[ i/x] 
后 ， 可 能 已 经 被 具体 的 上 下 文 限 定 y 值 ， 落 入 Vy 或 3y 的 作用 范围 。 这 种 约束 忽略 了 上 下 
XX y 具体 值 的 指定 ， 因 为 y 将 表示 “ 菜 些 非特 指 的 ”或 < 所 有 的 ”。 这 种 预料 之 外 的 变量 捕 
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图 2-3 代 换 之 后 的 公式 语法 分 析 树 


捉 是 无 论 如 何 要 避免 的 。 

定义 2.8 给 定 项 :、 变 量 x 和 公式 由 ， 说 上 关于 中 中 的 * 是 自由 的 ， 如 果 对 出 现在 上 中 
的 任何 变量 y， 中 中 没有 自由 的 叶 结 点 * 处 于 Vy 或 3y 的 作用 范围 之 内 。 

这 个 定义 有 些 令 人 费解 。 让 我 们 从 语法 分 析 树 的 角度 去 考虑 它 。 给 定 由 和 :的 语法 分 析 
树 ， 对 中 实施 代 换 [i/x] 得 到 公式 [i/x]。 在 后 者 的 语法 分 析 树 中 ， 原 来 中 所 有 自由 出 现 
的 叶 结 点 * 均 被 ;的 语法 分 析 树 所 取代 。“t 对 四 中 x 是 自由 的 "意味 着 : 在 把 ;的 语法 分 析 
树 中 的 变量 叶 结 点 置信 具有 更 大 语法 分 析 树 的 $[t/x] 中 时 ， 此 变量 并 未 受 约束 。 例 如 ， 考 
BE 2-3 中 的 x、t 和 由， 则 t 对 由 中 的 x 是 自由 的 ， 因 为 ;的 新 叶 结 点 x 和 yy 均 不 在 涉及 变 
Ba My 的 任何 量词 的 作用 范围 之 内 。 

例 2-9 考虑 如 图 2-4 所 示 的 语法 分 析 树 的 公式 由 ， 并 令 上 是 Xy，7y) 。x 在 由 中 的 两 次 
出 现 全 部 是 自由 的 。 出 现在 最 左 端的 * 可 以 被 代 换 ， 因 为 它 不 在 任何 量词 的 作用 范围 之 内 ; 
但 代 换 最 右 端的 叶 结 点 * 会 引入 一 个 上 中 的 新 变量 yY， 它 被 Vy 所 约束 。 因 此 f(y, y) 对 由 中 
的 x 不 是 自由 的 。 - 

(A) 


QO Q 
在 这 个 公式 中 ， 
项 /0,W 关 于” C) (9) 


.x 不 是 自由 的 
© © 


图 2-4 有 可 怕 代 换 结果 的 一 棵 语法 分 析 树 
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如 果 * 在 中 中 没有 自由 出 现 会 如 何 呢 ? 考察 “对 中 中 的 x 是 自由 的 定义。 我 们 看 到 ， 
在 这 种 情况 下 ， 每 项 上 在 由 中 对 x* 都 是 自由 的 ， 因 为 没有 自由 变量 * 处 于 由 的 语法 分 析 树 中 
的 某 个 量词 的 作用 范围 之 内 ， 所 以 在 实施 代 换 [ix*] 时 ， 变 量 捕捉 的 麻烦 情况 不 会 出 现 。 
当然 ， 在 这 种 情况 下 ，g[t/x] 还 是 由 

将 “对 中 中 * 是 自由 的 ”与 调用 代 换 过 程 需要 的 前 置 条 件 做 比较 是 有 帮助 的 。 若 在 习题 
或 考试 中 要 求 计 算 由 [tx] ， 直 接 计算 就 可 以 了 ; 但 是 在 一 个 定理 证 明 器 中 所 使 用 的 代 换 的 
合理 实现 必须 检查 上 对 $ 中 x 是否 自 由 的 。 如 果 不 是 ， 需 要 用 新 名 称 对 某 些 变量 进行 重 命 
名 ， 以 避免 不 想 要 的 变量 捕 提 。 


2.3 谓词 逻辑 的 证 明 论 
2.3.1 自然 演绎 规则 


谓词 逻辑 中 自然 演绎 演算 的 证 明 同 第 1 章 命题 逻辑 是 相似 的 ， 除 此 之 外 ， 还 需要 增加 新 
的 规则 ， 用 于 处 理 量词 和 相等 符号 。 严 格 来 讲 ， 我 们 对 原先 命题 连接 词 v 和 ^ 等 的 证 明 规 则 
加 载 。 简 单 地 说 ， 第 1 章 的 证 明 规则 对 谓词 逻辑 中 的 逻辑 公式 依然 有 效 ( 我 们 最 初 定义 过 命 
题 逻辑 中 录 辑 公式 的 证 明 规则 ) 。 与 在 命题 逻辑 中 的 自然 演绎 规则 一 样 ， 对 量词 和 相等 的 附 
加 规则 会 以 两 种 形式 出 现 ， 引入 规则 和 消去 规则 。 

相等 的 证 明 规 则 首先 阐述 相等 的 证 明 规 则 。 这 里 相等 不 是 语义 或 内 在 的 相等 ， 而 
是 计算 结果 的 相等 。 在 这 种 意义 下 ， 任 何 项 :必然 和 它 本 身 相 等 。 这 表述 为 相等 的 引入 
规则 : 


ei | (2-5) 


这 是 一 个 公理 ( 因为 它 不 需要 任何 前 提 )。 注 意 ,， 仅 当 ;为 项 时 ， 这 个 规则 才 会 被 引用 ， 
我 们 的 语言 不 允许 讨论 公式 问 的 相等， 
显而易见 ， 这 个 规则 是 合理 的 ， 但 它 本 身 并 不 十 分 有 用 。 我 们 需要 一 个 可 以 反复 做 相等 
代 换 的 规则 。 例 如 ， 因 为 y* (w+2) 等 于 y*z+y#y2， 那 么 zz>ys*(w+2) 可 以 推出 zBy* 
UW+Yy#2， 反 之 亦 然 。 可 以 将 这 种 代 换 表示 为 规则 =e: 
t = b[t,/x] 
[ae 
注意 ， 无 论 何 时 引用 规则 =e, BER, Me, to PMs BAA. 这 是 证 明 规 则 辅助 条 件 
(side condition) 的 一 个 例子 。 
约定 2. 10 在 这 一 节 中 ， 写 形 如 $[t/x] 的 代 换 时 ， 假定 :对 四 中 x 是 自由 的 。 如 在 上 
一 节 看 到 的 ， 没 有 此 条 件 ， 代 换 是 没有 意义 的 。 


二 


我 们 得 到 证 明 
1 (* +1) = (1 +x) 前 提 
2 (x+1 >1)— (x+1 >0) 前 提 
3 (1+x>1)—=>(l+x>0) = el ,2 
确定 了 下 列 矢 列 的 有 效 性 : 


xX+1=1+x, (x+1 >1)—>(x+1 >0)F(l1+x) >1-—» (1+x) >0 
在 这 个 特殊 证 明 中 , i 是 (x+1), n BCU +x), 中 是 (x >1) 一 (x >0)。 我 们 使 用 了 名 = 
e， 因 为 它 反映 出 此 规则 对 数据 的 作用 : 通过 把 bl t/a] PARA AS t, Al, 代 换 ， 消 去 1 = 
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中 的 等 号 。 这 是 一 个 合理 的 代 换 规则 ， 因 为 假设 与 Me, 相等 ， 保 证 plt] pl tx] iE 
辑 含义 相 匹配 。 
在 规则 =e 的 意义 下 ， 代 换 原 理 的 作用 是 很 强大 的 。 与 规则 =i 结合 起 来 ， 允 许 我 们 证 
明 矢 列 
t= = (2-6) 
t, =t, t =t,Ft, =, (2-7) 
(2-6) 的 一 个 证 明 如 下 : 
1 =i 前 提 
2 t =f, =i 
3 tf =4t, = el ,2 
其 中 由 是 x = 与 。 式 (2-7) 的 证 明 为 : 
1 t= 前 提 
2 t =t, 前 提 
3 =t =el,2 
其 中 如 是 =x， 因 此 ， 在 第 2 行 有 g[t,/x]， 将 规则 =e 应 用 到 第 1 行 与 第 2 行 得 到 第 3 行 
[ts/x]。 注 意 ， 我 们 用 几 种 不 同 的 方式 应 用 规则 =e. 

对 规则 = i 和 =e 的 讨论 说 明 相等 具有 自 反 性 (reflexive) (2-5)， 对 称 性 (symmetric) 
(2-6) 和 传递 性 (transitive) (2-7) 。 这 些 都 是 作为 任何 合理 的 (广义 ) 相等 概念 的 起 码 和 必要 
要 求 。 对 相等 的 讨论 先 告 一 段落 ， 下面 接 着 讨论 量词 的 证 明 规则 。 

全 称 量词 的 证 明 规则 Y 的 消去 规则 如 下 : 

jon 
它 的 含义 是 : 若 Yx 是 真 的 ， 可 以 将 中 的 x 用 任何 项 上 去 代替 (辅助 条 件 已 知 如 常 ，! 关 
于 由 中 的 * 是 自由 的 ) ， 并 且 可 以 得 出 $[zx] 也 是 真 的。 此 规则 直观 上 的 合理 性 是 不 言 而 
喻 的 。 

回忆 一 下 ，g$[t/x] 是 通过 把 $ 中 所 有 自由 出 现 的 x 用 1 代 换 得 到 的 。 可 以 将 1 视 为 x 的 
一 个 更 为 具体 的 实例 (instance) 。 因 为 我 们 假定 了 由 对 所 有 x 的 取 值 都 是 真 的 ， 则 由 对 于 任 
何 项 ;的 情形 也 应 该 是 真 的 。 

例 2. 11 为 了 说 明 对 由 中 的 * 是 自由 的 这 一 条 件 的 必要 性 ， 考 虑 情形 , 由 是 3y(x <y), 
用 来 代 换 x 的 项 是 y。 假 设 用 “小 于 ”关系 研究 关于 数 的 推理 。 则 Vx 的 含义 是 ， 对 所 有 的 
数 "”， 必 然 存 在 某 个 比 半 大 的 数 m， 这 个 论断 对 自然 数 和 实数 都 是 正确 的 。 然 而 ， bl y/x} Æ 
公式 3y(y <y) ， 意 味 着 一 个 数 比 它 本 身 大 。 这 是 不 正确 的 。 我 们 不 能 有 这 样 的 证 明 规 则 ， 
它 能 从 语义 正确 的 内 容 推导 出 语义 错误 的 内 容 。 显 然 ， 错 误 的 原因 是 ; 在 代 换 过 程 中 ，y 变 
成 了 受 约束 的 变量 ; yX o PMs REA HA. Alb, EH Ved 到 $[i/x] 的 过 程 中 ， 必须 加 
辅助 条 件 ， 即 上 对 中 的 x 是 自由 的 对 y， 使 用 一 个 新 变量 来 改变 $$， 例如 ，3z(x <z)， 然 
后 对 公式 应 用 [y/x] ， 得 到 公式 3z[y <z]. 

规则 V xi 更 复杂 些 。 它 和 命题 逻辑 中 已 经 看 到 的 自然 演绎 类 似 ， 使 用 证 明 框 ， 所 不 同 的 
是 这 次 是 用 来 规定 “ 旺 变 量 "x 的 作用 范围 ， 而 不 是 假设 的 作用 范围 。 规 则 VY xi 写作 : 
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V xo 

它 的 含义 是 : 如 果 从 一 个 “新 ”变量 x, 开始 ， 能 证 明 带 有 x, 的 公式 pg[xo/x]， 则 可 以 推导 出 Vxg 
(因为 mm 是 新 变量 ) 。 很 重要 的 一 点 是 和 是 新 变量 ， 这 个 新 变量 不 能 在 框 外 的 任何 地 方 出 现 ; 我 
们 将 它 视 为 任意 项 。 因 为 对 x 没有 任何 约束 ， 在 它 的 位 置 上 可 以 是 任何 内 容 ， 因 此 结论 为 Vxq。 

我 们 需要 花 些 时 间 来 理解 这 个 规则 ， 因 为 这 个 规则 看 起 来 似乎 是 从 p 的 特殊 情况 得 到 
一 般 情 况 Y x$。z 不 出 现在 框 外 的 任何 地 方 的 辅助 条 件 使 得 我 们 能 够 实现 这 个 过 渡 ( 从 特殊 
到 一 般 一 一 译 者 注 ) 。 

为 了 理解 这 一 点 ， 考 虑 下 面 的 推理 。 如 果 想 证 明 可 以 通过 挤 压 的 方式 将 手中 的 乒乓 球 压 
扁 ， 你 可 以 说 :“ 给 我 一 个 乒乓 球 ， 我 会 将 它 压 扁 ”， 然 后 ， 给 你 一 个 乒乓 球 ， 你 压 扁 它 。 
但 是 ,怎么 才 可 以 使 我 们 相信 你 可 以 通过 这 种 方式 把 任何 一 个 乒乓 球 压 扁 呢 ?当然 ,不 可 能 
把 所 有 的 乒乓 球 都 给 你 ， 又 如 何 确信 你 可 以 压 扁 呢 ? 好 的 ， 现 在 假设 你 压 篇 的 那个 乒乓 球 是 
一 个 任意 的 或 “随机 ”的 ， 即 它 一 点 也 不 特殊 ， 就 像 你 事先 “准备 好 的 " 球 ; 这 足以 使 我 们 相 
信 你 可 以 通过 这 种 方式 把 任何 一 个 乒乓 球 压 扁 ! 我 们 的 规则 是 说 ， 如 果 你 可 以 证 明 对 没有 任 
何 特殊 性 的 x。 ，# 是 真 的 ， 那么 你 能 够 证 明 ， 对 任意 的 x，4 是 真 的 。 

换个 角度 考虑 ， 只 有 在 没有 一 个 假设 包含 x 作为 自由 变量 的 方式 得 到 由 ， 那 么 ， 从 由 到 
Vap 的 证 明 步 骤 才 是 合法 的 。 任 何以 * 为 自由 出 现 的 假设 均 对 这 样 的 * 加 了 约束 。 例 如 ， 
假设 bird(x) 将 «约束 到 了 “ 鸟 的 领域 范围 之 内 ”， 这 样 我 们 用 此 公式 所 能 证 明 关 于 x 的 所 有 
内 容 ， 只 能 是 约束 到 鸟 类 的 一 个 陈述 论断 ， 而 不 是 我 们 可 能 想到 的 其 他 内 容 。 

现在 看 一 个 例子 ,说明 这 些 证 明 规 则 。 这 是 一 个 对 矢 列 Vx(P(x) 一 @(x))，VxP(x) 上 
VxQ(x) 的 证 明 : 








1 Va(P(x)—>Q(x)) 前 提 
2 Vx P(x) 前 提 
3 | xo P(x.)+Q( x) Vx el 
4 P(x) Vx e2 
5 Q(x) —e3, 4 
6 Vx Q(x) Vxi3-5 


这 个 证 明 的 结构 基于 结论 是 一 个 含 V 的 公式 这 一 事实 。 为 了 得 到 结论 ， 我 们 需要 使 用 
. Y xi， 因 此 ， 我 们 构建 一 个 矩形 框 来 控制 wm 的 作用 范围 。 其 余 的 工作 是 很 机 械 的 ; 通过 证 
明 Q(x。) 来 证 明 YVxQ(x)。 为 了 证 明 后 者 ， 只 须 证 明 P(x ) 和 P(x,)-0(%), MEMAS 
就 是 前 提 的 实例 (由 对 项 x, 使 用 VY xe 规则 得 到 )。 注 意 ， 我 们 将 三 变量 名 写 在 了 它 作用 范围 
框 的 第 一 行 证 明 的 左 端 。 

下 面 是 一 个 仅 使 用 Vxe 的 简单 例子 : 证 明 对 任意 项 1， 矢 列 P(t), Vx(P(x) 
一 Q(#))F 7 Q(t) BARA : 


1 P(t) 前 提 
2 Vx (P(x) > 7 Q(x)) 前 提 
3 P(t)— — Q(t) Vxe2 
4 7 Q(t) — 3,1 
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注意 ， 我 们 用 与 假设 P(t) 中 一 样 的 实例 i 应 用 规则 Vxe。 如 果 对 yy 使 用 规则 Vxe， 得 到 
Ply) >> Q(y)， 则 其 结果 是 有 效 的 ， 而 一 旦 y 与 i 不同， 其 结果 就 没有 意义 了 。 因 此 ，Vxe 
实际 上 是 规则 的 模式 (scheme) ， 是 对 每 项 i:( 中 中 对 %* 自由) 的 一 个 代入 ， 我们 应 该 在 一 致 的 模 
式 匹 配 基 础 上 作出 选择 。 进 一 步 ， 注 意 对 每 个 变量 +*， 有 规则 Vxi 和 Vxe。 特 别 地 ， 也 有 规则 
Vyi, Vye 等 等 。 当 运用 这 些 规则 ， 而 不 考虑 它们 实际 针对 哪个 变量 时 ， 可 以 直接 写 Vi 和 Ve。 

还 需要 注意 ， 尽 管 方 括号 表示 出 现在 规则 Vi 和 Ye 中 的 变量 代 换 ， 但 在 使 用 那些 规则 
时 ， 它 们 并 不 出 现 。 其 原因 是 ， 我 们 实际 上 是 在 实现 被 要 求 的 代 换 。 在 这 些 规 则 中 ， 表 达 式 
[Lt/x] 的 含义 是 : 它 是 公式 ,但 已 经 对 自由 出 现 的 变量 x 用 上 代 换 了 。 因 此 ,， 若 由 是 
P(x, y)Q(y, z), WARU $[a/y] ， 执 行 这 个 代 换 之 后 ,，$ 变 为 P(x, a)>Qla, z)o 

理解 全 称 量词 规则 的 一 个 有 效 方式 是 比较 V 和 ^ 的 规则 。 关 于 Y 的 规则 在 某 种 意义 上 是 
关于 ^ 的 规则 的 推广 ; ^ 只 有 两 个 合 取 项 ，V 看 起 来 却 是 多 个 公式 的 合 取 ( 每 个 公式 都 是 它 的 
变量 的 代 换 实例 )。 因 此 ，^ i 有 两 个 前 提 ， 而 Vxi 的 前 提 是 bf xu/x] x, 是 变量 x 的 每 一 个 
可 能 取 值 。 类 似 地 ， 合 取 - 消 去 可 以 从 5 ^y 推导 需要 的 由 和 峭 ， 而 全 称 - 消 去 规则 可 以 从 
Vap 推导 四 [i/x] ， 只 要 上 是 需要 的 任何 项 (当然 上 必须 满足 辅助 条 件 ) 。 换 句 话 说， 为 证 明 
Vap, DAT SPA BEBE x, WEH plr]; 而 ^i 表示 为 了 证 明 p, ^ 和 ， 必 须 证 明 小， 
对 每 一 个 1=1，2。 

存在 量词 的 证 明 规 则 关于 V 和 ^ 的 分 析 也 可 以 推广 到 了 和 v; 运用 在 ^ 和 VY 关系 分 析 
中 用 到 的 同样 的 思想 方法 ， 我 们 甚至 可 以 试 着 从 对 v 规 则 的 分 析 猜 想到 关于 3 的 规则 。 例 
如 ， 我 们 知道 析 取 引入 规则 是 合 取 -消去 规则 的 对 偶 ; 为 了 强调 这 一 点 ， 我 们 把 它们 写作 ， 

Ad. $e vi 
Qı t ovo, * 
其 中 的 取 值 可 以 是 1 或 2。 因 此 ,已 知 全 称 -消去 规则 的 形式 ， 可 以 简单 地 推出 存在 -引入 
规则 一 定 是 : 





ol t/x | i 
了 x 中 dx 


的 确 它 是 正确 的 ， 简 单 说 ， 只 要 对 某 项 :， 有 plt], WA, RATAS Irol HR 
地 ， 要 加 上 辅助 条 件 1 对 由 中 对 x 是 自由 的 ) 。 

从 计算 角度 看 ， 在 规则 IP, AR Ol] MST iad 更 多 的 信息 。 后 者 仅仅 是 说 由 
对 x 的 某 个 非特 指 值 是 成 立 的 ; 而 %[ zx] 表示 + 是 一 个 证 据 。 我 们 知道 ， 方 括号 要 求实 际 执 
行 变量 代 换 。 然 而 ， 记 号 $[t/x] 会 引起 误解 ， 因 为 它 不 仅 表示 1 是 一 个 证 据 ， 而 且 要 求 公式 
$ 本 身 是 正确 的 。 例 如 ， 考 虑 :等 于 y 的 情形 ， 使 得 [yz] 是 y =y。 那 么 可 以 检测 :由 可 以 
是 很 多 种 情况 ， 如 * =x 或 *=y。 因 此 ， 习 sb 依赖 于 所 考虑 的 这 些 bo 

由 和 v 之 间 的 关系 ， 推 广 规则 ve， 可 以 得 到 3e 的 规则 : 


xo PL xo/x] 








dsp X 





Je 


X 
类 似 于 v e， 这 里 涉及 一 个 情形 分 析 。 分 析 如 下 : 我 们 知道 3x BAM, Abo 至 少 对 
一 个 4 的 “ 取 值 "是 真 的 。 于 是 对 所 有 可 能 值 的 情形 作 分 析 ， 记 x 表示 所 有 可 能 取 的 一 个 一 
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般 的 值 。 若 假设 $[x*o/x] 能 证 明 某 个 不 涉及 x, RAX, BA, 不管 x。 是 否 使 bp[xovx ] 为 
真 ， 都 有 X 是 真 的 。 这 就 是 Je 允许 我 们 推 性 的。 当然， 加 上 x 不 能 出 现在 证 明 框 之 外 的 辅助 
条 件 ( 因 此 ， 特 别 地 ， 它 不 能 出 现在 X 中 )。 这 个 框 控制 了 x 的 范围 和 假设 $[xo/x] 的 范围 。 
正如 v e 所 言 ， 应 用 p Yo 时 ， 必 须 为 由 的 其 中 之 一 准备 ， 所 以 3e 表示 运用 3xg 必须 
为 任何 可 能 的 $[xo/x] 做 准备 。 理 解 je 的 另 一 种 方式 是 : 如 果 知 道 arp, TAM $[xo/x] 推 
导 某 个 XX， 即 通过 给 一 个 已 知 存在 的 事物 命名 ， 可 以 推出 X， 那 么 ， 即 使 没有 给 这 个 它 命名 ， 
我 们 也 可 以 推出 X( 假 如 X 不 涉及 名 字 xy) 。 
规则 3 xe 和 v e 在 某 种 意义 上 是 类 似 的 ， 即 它们 都 是 不 必 推 导 即 将 被 消除 的 公式 的 子 公 
式 的 消去 规则 。 请 验证 到 目前 为 止 学 到 的 其 他 所 有 消去 规则 都 有 这 个 子 公式 性 质 ( subformula 
property)”。 从 计算 角度 讲 ， 这 个 性 质 非常 好 ， 因 为 它 大 大 缩小 了 证 明 的 搜索 空间 。 遗 憾 的 
Æ, Jre 以 及 ve， 都 不 适合 计算 。 
我 们 通过 一 些 例子 实践 一 下 这 些 规 则 。 当 然 ， 应 该 证 明 矢 列 Vxg$ 上 -3x4 的 有 效 性 。 
1 Vx WME 
2 gp[lx/x] Vx el 
3 3xr 中 jxi2 
说 明 对 Yxe 和 xi， 选 择 1 为 x( 注 意 , x 对 中 中 的 x 是 自由 的 ，$[x/x] 的 结果 就 是 四) 。 
证 明 矢 列 Vx(P(x) 一 0(x*))，3xP(x)HF 3xO(x) 的 有 效 性 更 复杂 一 些 ， 





Vaæ(P(x)—>Q(x)) 前 提 
Jx P(x) 前 提 
xo P(x.) 假设 









PCxo) 一 0O(Cxo) Vx el 
Q(x) —e4, 3 
dx Q(x) 
7 Ax Q(x) jx e2, 3-6 
在 证 明 的 第 3 行 引进 证 明 框 是 消去 前 提 习 xzP(x) 中 的 存在 量词 符号 。 注 意 ， 结 论 中 的 习 需 要 
在 框 内 引 人 ， 观 察 这 两 个 步骤 的 和 嵌 套 。 第 6 行 中 的 公式 3x0(x) 是 X EAN Je 中 的 实例 化 ， 没 有 
xo 的 出 现 ， 所 以 它 可 以 出 现在 框 外 的 第 7 行 。 下 面 是 与 前 面 证 明 儿 乎 相同 的 非法 “证 明 ”。 
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1 Vx (P(x)—0(x)) 前 提 

2 dx P(x) 前 提 

3 P(xo) 

4 P(x) Q(x) 

5 Q(%) 

6 Q(x) Jx e2, 3-5 
7 Jx Q(x) Jx i6 


第 6 行 让 一 个 新 参量 x 越 出 了 x 的 作用 范围 框 。 这 是 不 允许 的 ， 稍 后 将 看 到 一 个 例子 ， 反 
映 不 合理 应 用 这 些 证 明 规则 将 导致 不 合理 的 论证 结果 。 
一 个 稍微 复杂 的 矢 列 证 明 例子 是 : 





O 对 Vxe， 执 行善 换 [1/x] ， 但 保持 由 的 逻辑 结构 。 
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Vx(Q(x) +R(x)), Ax(P(*) ^ Q(x))F Ax( P(e) A R(X)) 
将 这 个 模型 论证 为 : 
如 果 所 有 的 公 谊 会 教徒 都 是 改革 派 ， 且 清教徒 也 是 公 谊 会 教徒 ， 则 必 有 清教徒 
也 是 改革 派 。 
一 个 可 能 的 证 明 策 略 是 假设 P(x。)^ 0(x。)， 那 么 由 Vx(Q(x) 一 R(x) ) 得 到 实例 O(xo ) 一 
R(x), RERS e ， 得 到 我 们 想 要 的 0(x,。) ， 最 后 通过 一 e 得 到 R(x): 
1 V¥x( Q(x) R(x) ) 前 提 











2 3x(P(x)^ Q(x)) 前 提 

3 | xo P(%)A Q(x) 假设 

4 Q@(xo) 一 RCxo) Vx el 

5 Q(x») A e3 

6 R(x.) —e 4, 5 

7 P(x) A e,3 

8 P(x) A R(x) ^i7, 6 

9 Jx(P(x)^ R(x)) Ixi8 

10 jx(P(x)^ R(x)) Jx e2, 3-9 


注意 ， 这 个 证 明 策 略 是 列 出 两 个 前 提 。 第 二 个 前 提 只 有 应 用 了 xe 到 它 上 面 时 才 发 挥 作用 。 
基于 此 因素 ,在 3 ~9 行 开 辟 了 证 明 框 ， 同 时 给 出 新 变量 名 x。。 因 为 要 证 明 x(P(x)^ R(x))， 
因此 这 个 公式 必须 是 证 明 框 里 的 最 后 一 个 公式 (目标 ) ， 其 余 的 涉及 到 应 用 Vxe 和 3 了 xi 规则 。 
规则 Vi 和 3e 都 有 辅助 条 件 ， 即 旺 变 量 不 能 出 现在 规则 的 证 明 杠 外边。 当然 对 哑 变 量 
通过 选择 另外 的 新 名 字 ( 例 如 ye) ， 这 些 规则 还 可 以 嵌 套 使 用 。 例 如 ， 考 虑 矢 列 P.a), 
VxVy(P(x) 一 Q(x))F VyQ(y)。( 顺 便 提出 ,第 二 个 前 提 是 很 强 的 ， 已 知 任意 的 x，y， 若 
P(x) 成 立 ， 则 Q(x%) 成 立 。 这 意味 着 ， 如 果 存 在 有 性 质 P 的 任意 对 象 ， 则 所 有 对 象 都 有 性 质 
0。) 它 的 证 明 如 下 : 取 任 意 的 y,， WEH 8(y,)。 这 样 做 是 因为 某 个 x 满足 P， 那么 可 以 通过 
第 二 个 前 提 对 任意 y 满足 0: 
1 dx P(x) 前 提 
Va Vy(P(*4)-Q(y) 前 提 


P(x) 


P(xo)—>Q(yYo) 

Q(¥%) 

QY) Jx el, 4-7 

9 Vy Q(y) Vy¥i3-8 
在 应 用 规则 Vx A dx 时 选择 x。 (EWES, MEN 应 用 规则 Vy 和 3y 时 选择 y 作为 

哑 变 量 名 ,没有 什么 特殊 原因 。 这 样 做 只 是 为 了 便于 理解 。 下 面 再 来 研究 证 明 的 策略 。 最 终 
要 证 明 关于 Vy 的 公式 ， 要 使 用 Vyi， 即 需要 开辟 一 个 证 明 框 (第 3 ~ 8 行 )， 这 个 证 明 框 的 
子 目标 是 证 明 全 称 实例 Q(y。) 。 在 上 述 证 明 框 中 要 利用 前 提 3xP(zx)， 因 此 ， 又 在 第 4 -7 
行 开 辟 了 证 明 框 。 注 意 ， 在 第 8 行将 0(y,) 移 出 了 x。 控制 的 范围 框 。 





2 

3 

4 

5 Vy (P(%)-Q(y)) 
6 

7 

8 
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需要 反复 强调 的 一 点 是 : 使 用 证 明 规 则 je 和 Yi 时， 哑 变 量 不 能 出 现在 它们 控制 的 范围 框 
之 外 。 用 一 个 例子 说 明 若 没有 遵守 这 个 辅助 条 件 ， 证 明 就 会 出 错 。 考 虑 无 效 矢 列 AxP(x), 
Vx(P(x) 一 0OCxz))F YYO(G7)。( 将 这 个 天 列 与 前 一 个 矢 列 作 比较 ， 第 二 个 前 提 弱 化 了 许多 ， 
它 只 允许 对 P 成 立 的 那些 对 象 来 推导 0。) 这 里 是 一 个 对 其 有 效 性 进行 的 貌似 正确 的 “证 明 ”: 

1 Jx P(x) 前 提 














2 Vx (P(x)—>Q(x)) 前 提 

3 

4 xo P(x) 假设 

5 P(%))-+Q(x,) Vx e2 

6 Q(x) —e5, 4 

7 Q(x) duel, 4-6 
8 Vy Q(y) Vy i3-7 


最 后 一 步 引入 Vy 并 没有 错 ， 它 是 正确 的 。 出 问题 的 是 倒数 第 二 步 ， 通 过 规则 3 re 推导 
Ol ERT xo 不 能 离开 它 的 范围 框 这 个 辅助 条 件 。 你 可 以 尝试 用 其 他 手段 “证 明 ” 这 个 矢 
列 ， 但 没有 一 种 是 可 行 的 (假设 语意 推导 的 证 明 系统 是 合理 的 ， 下 一 节 将 定义 这 个 概念 ) 。 
舍 去 这 个 辅助 条 件 ， 可 以 证 明 " 只 要 有 一 个 * WEEE P, WIAR x 均 满 足 这 个 性 质 *。 那 
将 是 一 场 经 典 逻辑 语义 的 危机 ! 


2.3.2 量词 的 等 价 


我 们 已 经 提 到 过 在 某 些 量词 形式 之 间 存 在 的 语义 等 价 。 现 在 对 其 中 一 些 最 常见 和 常用 的 
量词 等 价 给 出 形式 证 明 。 在 它们 当中 有 相当 一 部 分 涉及 了 不 止 一 个 变量 的 多 个 量词 。 因 此 ， 
这 部 分 主题 是 应 用 符 套 风格 的 量词 证 明 规 则 的 一 个 很 好 的 练习 。 
例如 ， 公 式 VYxY yg 应 该 等 价 于 VyVx$， 因 为 二 者 含义 都 是 对 x 和 y 的 所 有 值 ， 中 均 
BUT MAC Vad) ACV ab) AV «(AP MRA? 我 们 马上 就 可 以 知道 它们 的 含义 也 是 
相同 的 。 如 果 第 二 个 合 取 项 不 以 Vx 开头 呢 ? 如 果 在 一 般 意义 下 理解 (Vx) ^ y, #5 
Vx( Ap RHR? RERE O, ADEs Ey PEAH, 而 到 了 公式 
Valp ^p) PHEMBSARH T . 
W212 我 们 可 以 将 “不 是 所 有 的 乌 都 会 飞 。” 编码 为 一 Vx(B(x) 一 F(x)) 或 者 
3x(B8(z)^ ”FFCx))。 前 者 的 形式 化 说 明 同 句子 表达 的 结构 更 为 接近 ， 但 是 后 者 与 前 者 是 逻 
辑 等 价 的。 量词 等 价 可 以 帮助 我 们 构建 “看 上 去 "不同 ， 但 含义 相同 的 表达 式 。 
你 应 该 熟悉 下 面 将 要 推出 的 量词 等 价 。 和 第 1 章 一 样 ， 我 们 将 Q, rb, 和 中 上 中 都 有 
效 简写 为 由 4b eo 
定理 2.13 设 四 和 由 是 谓词 逻辑 公式 ， 具 有 下 面 的 等 价 : 
1. (a)n Yx $d 3x 一 由 
(b) 一 3x 和 -HHYx 一 中 

2. 假设 * 在 少 中 不 是 自由 的 ， 那 么 : 
(a) Vx 中 和 人 范 -HH Va(Hawp)? 
(b) Vx p V Wk Vel(b y) 
(ce) dx PAP 3x( 由 入 乡 ) 





O 记 住 由 绑 定 优先 级 ，Ys Ay 隐 含 着 括号 为 (VY xg$) Aw. 
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RIF 





(d) dx $v wot Ax(ov y) 


(e) Va(bodb dry Vx 中 
(£) dx (pp Yx boy 
(g) Val dow dh 3x boy 


Ch) Ax( fo HF pb Ax 中 


3. (a) Vx bAVx bik Vrx(b ery) 
(b) Jz $ V Ax yd 3x($ y y) 
4. (a) VxVy bot YyYz o 


(b) 3xdyd4k 3 了 yy 了 x 中 


证 明 我 们 将 对 这 些 矢 列 中 的 大 部 分 给 出 证 明 ,， 余下 的 证 明 是 直接 修改 ， 留 做 练习 。 回 


忆 一 下 ， 我 们 有 时 用 上 表示 任意 矛盾 。 


1.(a) 我 们 从 证 明 两 个 简单 和 拓 列 的 等 价 性 开始 这 部 分 的 论证 ， 首 先是 一 (p, Ap,)E mp, Yom, BK 
是 一 VxP(x) 上 3x 一 P(x)。 证 明 第 一 个 式 子 ， 一 方面 是 为 了 揭示 人 和 vv 之 间 的 关系 ; 另 一 方面 是 考虑 V 
和 3 之 闻 的 关系 ,考虑 只 有 两 个 元 束 p Alp, 的 模型 ， 即 p 代表 在 i 处 赋值 的 P(x)。 证 明 这 个 命题 矢 列 
的 思想 对 我 们 证 明 第 二 个 谓词 逻辑 公式 会 有 所 启发 。 证 明 后 一 个 矢 列 的 原因 是 ， 它 是 我 们 真正 想 要 证 明 
的 公式 的 一 个 特殊 情形 (= P(*) 的 情形 ) ， 所 以 ， 在 对 我 们 有 所 启发 的 同时 ， 应 该 更 容易 。 那 么 ， 我 们 开 


始 证 明 。 
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Fk 


次 PBC, 


现在 我 们 来 类 似 地 证 明 矢 列 一 
明 规 则 ， 而 用 关于 VY 和 的 规则 : 


1 


oOo ND HW BP WO WN 


10 


“P, Vp, 


(p, 4 pr) 前 提 
(TP YT Pa) 假设 
`p 假设 `P 假设 
Pi Y™ Po Vv i,3 7PiY7P, Yi3 

1 e4, 2 L 7e 4,2 
pi PBC3-5 





PBC 2-8 
我 们 在 第 1 章 见 过 这 种 类 型 的 证 明 。 这 是 一 个 需要 用 矛盾 、 一 一 。 或 LEM 规则 证 明 的 例子 (这 就 意味 
着 在 使 去 这 三 个 规则 的 自然 演绎 推导 系统 里 ， 上 述 结论 是 不 可 证 的 ), 事实 上 ,以 上 证 明 使 用 了 三 




















VxP(x)HF 3x 一 P(x) 的 有 效 性 ， 所 不 同 的 是 我 们 将 不 再 用 对 人 和 v 的 证 
Vx P(x) 前 提 
74a P(x) 假设 

Xo 

= P(x) 假设 
3x 一 P(x) Jxi4 
L 7e5, 2 
P(x) PBC4-6 
Yx P(x) Yxi3-7 
L “e8, 1 
jx— P(x) PBC2-9 


花 些 时 间 理 解 这 个 证 明 方式 会 有 所 收益 。 这 种 洞察 力 对 构造 谓词 逻辑 的 证 明 是 非常 有 帮助 的 : 首先 构 





ae: 3 





造 一 个 相似 命题 的 证 明 ， 然 后 去 模仿 它 (来 证 明 你 想 证 的 ) 。 


下 面 证 明 矢 列 一 Yxg$ 上- 3x 一 9 的 有 效 性 : 


1 一 Vx 中 前 提 
2 
3 
4 
5 
6 
7 
8 
9 








10 dz-7¢ 





PBC2-9 
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证 明 逆 3x $+ Vap 的 有 效 性 更 直接 ， 因 为 它 不 涉及 矛盾 、 一 一 。 或 LEM 规则 。 与 前 面 证 明 不 同 ， 此 处 给 


出 一 个 直觉 逻辑 主义 者 可 以 接受 的 构造 性 证 明 。 我 们 也 可 以 证 明 一 个 相应 的 命题 矢 列 ， 但 这 里 把 它 留 做 练习 。 




































1 了 xz 一 中 前 提 
2 Vid 假设 
3 
4 7 epl x,/x] 假设 
5 ol x,/x] Vxe2 
6 L +65, 4 
7 | 4 Jxel, 3-6 
8 7V xo 142-7 
2. (a) RAV ab Ak Yalp A p) ACHE AT AO PE: 
1 (Vi db)ryp 前 提 
2 Vio ^el 
3 y ^el 
4 | xo 
5 pl xox] Vxe2 
6 plxo/x]^y Ais， 3 
7 (中 和 人 纱 ) [xo/x] 与 6 相同 ， 因 为 x 在 yw 中 不 是 自由 的 
8 Valo Aw) Va i4-7 
逆 的 有 效 性 论断 可 以 这 样 证 明 : - 
1 Vx(bA wp) Bi #2 
2 | xo 
3 (6A) [xovx] Vxel 
4 plxo/x]^y 与 3 相同 ， 因 为 x 在 y 中 不 是 自由 的 
5 y Ae, 3 
6 $l xx] Ae, 3 
7 Vad Vx i2-6 
8 (Va db)rag AiT7, 5 
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注意 ， 最 后 一 行 ^ i 规则 的 运用 是 可 行 的 ， 因 为 y 可 以 通过 第 1 行 公式 的 任何 实例 化 得 到 ， 尽 管 支持 证 
明 的 形式 工具 可 能 会 抱怨 这 种 实践 。 
3.〈(b) 使 用 Y e 规则 证 明 矢 列 ( 习 x$)v (Iry) 3x( 由 Y 东 ) 的 有 效 性 。 有 两 种 主要 情形 ， 每 一 种 情形 
都 需要 规则 3 xi: | 
1 (Ix $)Y( Ax) 前 提 





Jx o 
pl xx] 
| %)/x]v wl x/x | 





wy [xo/x] 
pl xox] v yw Lxo/x] 


Co vf) [ro/x] 
J x( D 


(bv w) [rxo/x] 
dx(o yy) 








eon NH nA PR WN 


Jalo vy) vel, 2-7 
DRAA Ip Vp) EAA, GU, RAER ERARE 了] xe。 这 个 规则 需要 把 $v y 

作为 临时 假设 ， 通 过 那些 数据 推出 ( 3s) v( Jab), SR, 假设 $v yw， 需要 做 一 般 情形 下 的 分 析 ; 

da(o yy) 前 提 











To 


aon AURA WN 一 


dag@vixsy Jxel, 2-7 
4. (Cb) GARTH Ix Jyh, UAB dre Maye, MMB Ay ied, YR, BAM MEMO 
格式 ， 如 下 : 


3x3y 中 前 提 
xo CAydb)[x/x] 假设 
dy(¢[x,/x]) fl, A+, y 是 不 同 的 变量 
Yo 中 [xo/x][yo/y] 假设 
[yo/y][xo/x] EA, BX x, y, to y 是 不 同 的 变量 
Jx 6ly/y] Vaid 
dylixd Vyi6 






























Oo Dn BF WwW Ye 





Jy Jx Jxel, 2-8 
通过 交换 x 和 y BE, AARD ETERA EE, 


2.4 谓词 逻辑 的 语义 
在 看 过 命题 逻辑 的 自然 演绎 如 何 拓展 到 谓词 逻辑 中 之 后 ， 现 在 看 一 下 谓词 逻辑 的 语义 是 
怎样 规定 的 。 与 命题 逻辑 中 的 情形 一 样 ， 语 义 必须 提供 一 个 独立 的 、 但 最 终 是 等 价 的 一 种 逻 


辑 刻 画 。 所 谓 “ 独 立 " 指 连接 词 的 含义 用 不 同 的 方式 来 定义 ， 在 证 明 论 中 ， 通 过 提供 运算 解 
释 来 定义 。 在 语义 学 里 ， 我 们 期 望 有 类 似 真 值 表 之 类 的 工具 。 所 谓 “等 价 ”， 指 可 以 证 明 它 





HAZA 81 
的 合理 性 和 完备 性 ， 正 如 在 命题 逻辑 中 所 做 的 一 样 。( 完 全 符合 规则 的 合理 性 和 完备 性 的 证 
明 不 在 本 书 讨论 范围 之 内 ) 

在 描述 谓词 逻辑 的 语义 之 前 ， 让 我 们 更 为 仔细 地 看 一 下 语义 与 证 明 论 之 间 的 真正 区 别 。 
在 证 明 论 中 ， 基 本 的 目标 是 构建 一 个 证 明 。 我 们 将 一 族 公式 d, da s d, 简写 为 T， 于 
是 为 了 证 明 工 上 少 是 有 效 的 ， 需 要 构建 一 个 从 工 到 纱 的 证 明 。 然 而 怎样 证 明 东 不 是 工 的 推 
FARR? 直观 上 讲 ， 这 更 难 了 些 。 怎 样 说 明 不 存在 某 种 结论 的 证 明 呢 ? 你 必须 考虑 每 个 可 
能 “ 参 选 "的 证 明 ， 再 说 明 它 不 是 所 需要 的 证 明 。 因 此 ,证 明 论 只 给 出 了 逻辑 的 一 个 “正面 ” 
刻画 ; 它 为 诸如 “T 上 东 是 有 效 的 ”这样 的 矢 列 提供 了 确凿 的 证 据 ， 但 是 它 对 建立 形 如 “上 纱 
是 无 效 的 "的 论断 却 无 能 为 力 。 

从 男 一 个 角度 讲 ， 语 义 的 作用 方式 是 相反 的 。 证 明光 不 是 的 推导 结果 就 显得 “容易 ” 
些 : 找 一 个 模型 ， 使 得 由 BAW, AY SER, WAH, WEH y ET 的 推导 结果 ， 在 
原则 上 是 比较 困难 的 。 对 命题 逻辑 ， 需 要 证 明 每 个 使 得 6, 是 真 的 赋值 (对 所 有 涉及 的 原子 命 
题 赋予 真 值 ) ， 均 使 少 为 真 。 如 果 赋 值 数 量 不 多 ， 这 个 方法 效果 还 是 不 错 的 。 然 而 ， 让 我 们 
回 到 谓词 逻辑 看 一 下 ， 结 果 发 现 需 要 考虑 无 穷 多 个 赋值 结果 ( 即 所 谓 由 此 得 到 的 模型 ) 。 因 
此 ， 在 语义 学 里 ， 有 逻辑 的 “否定 ”特征 。 发 现 确立 形 如 “T yy”(y RAT 中 所 有 公式 的 语义 
推导 ) 的 论断 比 确立 形 如 “TI 上 t "的 论断 ( 少 是 工 的 语义 推导 ) 容 易 些 ， 因 为 前 者 只 需要 涉及 
一 个 模型 ， 而 后 者 可 能 需要 涉及 到 无 穷 多 个 模型 。 

这 个 结果 告诉 我 们 同时 研究 证 明 论 和 语义 的 重要 性 。 例 如 ， 如 果 你 想 试 着 证 明 峭 不 是 工 
的 语义 推导 结果 ， 会 费事 些 ， 因 此 必须 改变 一 下 证 明 策略 ， 尝 试 着 去 证 明 TF y 的 有 效 性 。 
如 果 能 够 找到 一 个 证 明 ， 就 可 以 确信 yw 是 T 的 推导 结果 。 如 果 找 不 到 证 明 ， 那 么 正在 尝试 
证 明 的 过 程 会 构造 一 个 反例 提供 一 些 灵感 。 令 人 兴奋 的 是 ， 对 谓词 逻辑 ， 证 明 论 和 语义 是 等 
价 的 ， 但 并 不 能 改变 二 者 在 谓词 逻辑 中 各 自 的 作用 ， 每 个 方面 都 值得 深入 研究 。 


2.4.1 模型 


回忆 我 们 是 如 何 对 命题 逻辑 中 的 公式 赋值 的 。 例 如 ， 公 式 (p V7 9) 一 (9 一 p) 的 赋值 基 
于 给 定 的 赋值 (p 和 9 假设 真 值 ) ， 通 过 对 它 计 算 真 值 (T 或 了 ) 得 到 。 这 个 过 程 本 质 上 是 公式 
(PY 9) 一 (9 一 p) 的 真 值 表 里 一 行 的 构建 。 那 么 在 谓词 逻辑 中 怎么 对 公式 赋值 呢 ? 例如: 

Yx3y(CP(s) y= Q(y¥)) (Q(x) 一 P(7))) 

这 个 公式 比 上 面 的 命题 逻辑 公式 “丰富 "。 我 们 能 简单 地 假设 P(x)、Q(x)、Q(y) 和 P(y) 的 
真 值 ， 并 像 以 前 那样 计算 真 值 吗 ? 首先 这 里 和 以 前 有 所 不 同 ， 因 为 我 们 需要 反映 出 量词 Vx 
Alay 的 含义 ， 即 它们 的 相关 性 (dependences) 和 PP 与 0 的 实际 参数 。 公 式 Vx3yR(x，y) 的 
含义 一 般 与 公式 3yV xR(x，y) 的 含义 不 同 ， 为 什么 呢 ? 问题 在 于 变量 是 某 些 或 任意 未 指定 
具体 值 的 占 位 符 。 这 样 的 值 几 乎 是 任何 一 种 类 型 : 学 生 、 鸟 类 、 数 字 、 数据 结构 和 程序 
等 等 。 

如 果 遇 到 公式 了 3 yw 时 ， 试 着 寻找 y 的 菜 个 实例 ( 菜 个 具体 值 ) 使 对 y 的 具体 实例 成 立 。 
如 果 成 功 了 ( 即 存在 y 的 一 个 具体 值 使 少 成 立 ) ， 则 I yy 赋值 Ti; 否则 (不 存在 y 的 某 个 具体 
值 可 以 实现 狐 ) ， 它 的 返回 值 是 F。 对 偶 地 讲 ， 对 Vsyp 要 说 明光 对 的 所 有 可 能 取 值 都 赋值 
为 T。 如 果 这 样 做 是 成 功 的 ， 则 VY xy 赋值 Ti 否则 ( 即 存 在 x HMA y HREF), CH 
返回 值 为 了 。 当 然 ， 这 样 的 公式 赋值 需要 一 个 固定 的 具体 值 论 域 ， 也 就 是 我 们 要 谈 及 内 容 的 
范围 。 因 此 ， 谓词 逮 辑 中 一 个 公式 的 真 值 依赖 于 值 的 实际 选择 和 所 涉及 谓词 与 函数 符号 的 意 
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义 ， 并 随 着 它们 的 变化 而 变化 。 

如 果 变 量 只 取 有 限 个 值 ， 可 以 编写 一 个 程序 。 这 个 程序 通过 合成 对 公式 赋值 。 若 公式 o 
的 根 结 点 是 ^、Y、 一 或 ”， 可 以 与 第 1 章 讨论 的 一 样 ， 通 过 相应 的 逻辑 联结 词 的 真 值 表 和 
对 那个 根 结 点 子 树 的 具体 情况 的 计算 ， 得 出 公式 由 的 真 值 。 若 根 结 点 是 量词 ， 在 前 面 也 描 
述 了 怎样 实现 公式 赋值 的 框架 。 这 样 ， 我 们 讨论 的 情形 只 有 谓词 符号 P( 在 命题 逻辑 中 是 一 
个 原子 命题 ,已 经 完成 了 对 它 的 处 理 ) 。 这 样 的 谓词 需要 nn 个 变量 ， 即 项 t,t,，…, to W 
此 ， 需 要 能 够 对 形 如 P(t ，t,，…， i) 的 公式 赋 真 值 。 

对 公式 P(t ，i，…，)， 需 要 比 命题 逻辑 情形 做 更 多 。 对 n =2， 谓 词 P 可 以 代表 像 
“由 所 计算 出 的 值 小 于 或 等 于 由 所 计算 出 的 值 。" 因 此 ， 在 不 知道 项 的 含义 之 前 ， 不 能 直接 对 
P 赋 真 值 。 我 们 需要 一 个 涉及 所 有 函数 和 谓词 符号 的 模型 。 例 如 ， 项 可 以 表示 实数 ,而 P 则 
表示 实数 集合 上 的 “小 于 等 于 ”关系 。 

定义 2. 14 假设 是 函数 符号 的 集合 ，P 是 谓词 符号 的 集合 ， 每 个 符号 所 和 需要 的 变量 个 
数 是 固定 的 。 符 号 对 (三 ，P) 的 一 个 模型 M 由 下 面 的 数据 集合 组 成 : 

1. 非 空 集 4 是 具体 值 的 全 集 ; 

2. 对 每 个 零 元 函数 fs 天 ,4 中 的 一 个 具体 元 素 S; 

3. 对 每 个 元 数 为 n>0 的 fe 大 ， 从 集合 4 En TRE A FARRER: AA; 

4. 对 每 个 n>0 元 谓词 Pe P, A En FR PCA, 

Koff", PS PYM 是 非常 重要 的 。 /和 PP 仅仅 是 符号 而 已 ， iif“ 和 PM 分 别 表示 模 
型 At 中 的 一 个 具体 函数 (或 元 素 ) 和 关系 。 

例 2. 15 SF=li}, PER, Fl; 其 中 i 是 常量 ,FF 是 一 个 一 元 谓词 符号 ， 而 是 二 
元 谓词 符号 。 模 型 M 包 含 所 有 具体 元 素 的 集合 4， 它 可 能 是 计算 机 程序 的 状态 集合 。 则 i 、 
R“ 和 FM 可 以 分 别 解释 为 设计 的 初始 状态 ， 状态 迁移 关系 和 最 终 状态 (可 接受 的 ) 的 集合 。 
例如 ， 令 

A={a,b,c| , iM a, R“ Eg (a,a), (a,b), (a,c), (b,c), (c,c)}, F" b,c) 

对 这 个 模型 非 形式 地 检测 一 些 谓词 逻辑 公式 : 
1. 公式 
3yR(i,y) 
其 含义 是 存在 从 初始 状态 到 某 个 状态 的 迁移 。 在 这 个 模型 中 它 是 真 的 ， 因为 存在 从 初始 状态 a 到 状态 c、8 
Alc 的 迁移 。 
2. 公式 
= F(i) 
表示 初始 状态 不 是 可 接受 的 最 终 状态 。 在 这 个 模型 里 ， 它 也 是 真 的 ， 因为 只 有 2 和 是 最 终 状态 ， 而 a 只 
是 初始 状态 。 
3. 公式 
VxrVyVz(R(x,y) A R(x,z) —y =2) 
使 用 了 谓词 相等 ， 含 义 是 状态 之 间 的 迁移 关系 具有 确定 性 ; 始 于 任何 一 个 状态 的 所 有 迁移 都 至 多 到 一 个 状 
态 ( 也 可 能 从 一 个 状态 开始 不 存在 迁移 ) 。 这 个 模型 是 假 的 ， 因为 a 可 以 迁移 到 5 和 c。 
4. 公式 
Vady R(x,y) 
其 含义 是 这 个 模型 不 存在 死 锁 状态 : 任何 状态 都 可 迁移 到 某 个 状态 。 在 这 个 模型 里 ， 是 真 的 ， a 可 以 迁移 
Bla, bA c; 和 ec 可 以 迁移 到 c。 
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例 2.16 SFH{e, -}, PHl<|, pe BER, -BOTRM, <wE—AEE 
两 个 变量 的 谓词 。 我 们 再 次 用 中 缀 符号 表示 Al<, A, (t,-4)8(t-t). 

模型 At 的 集合 4 由 所 有 字母 表 !0，1} EWA CSR BAM, BAS, Be 
表示 。e 的 解释 e” 就 是 空 字 e ' 的 解释 - “BSH BE. Hin, 0110 “1110 等 于 
01101110。 一 般 ， 若 二 进 制 串 是 aa, …a 和 bbb, Hp a, be {0, 1}, W aja,…: 

“bibb, 等 于 aia,…ab1b,…b,。 最 后 ， 我 们 将 解释 为 字 的 前 缀 序 。 如 果 存 在 二 进 制 
Fs, BBs, o s EFs, Rs 是 s, MAB. fa, 011 是 011001 M011 的 前 级 ， 而 010 
不 是 。 因 此 ，<“ 是 集合 {(s,，s,) 1 s 是 s, 的 前 级} 。 下 面 再 给 出 一 些 非 形式 的 模型 检测 : 

1. 在 模型 中 ， 公 式 

Va((x4 Sa-e) A(x+e Sx)) 

其 含义 是 在 与 空 字 串 联 的 前 提 下 ， 任 何 字 都 是 它 本身 的 前 级 ， 反 之 也 对 。 显 然 在 这 个 模型 里 这 是 真 的 ， 因 
为 s* “oe 依然 是 s， 每 个 字 都 是 它 本 身 的 前 统 。 

2. 在 模型 中 ， 公 式 

dy Vx(y <x) 

表示 存在 一 个 字 *， 它 可 以 是 任何 其 他 字 的 前 缀 。 这 是 真 的 ， 因 为 可 以 选择 e 为 这 样 的 字 ( 在 这 种 情形 下 别 
无 选择 ) 。 


3. 在 模型 中 ， 公 式 
Vax 3y(y <x) 
表示 每 个 字 都 有 前 缀 。 这 是 显然 的 ， 一 般 情 况 下 ，y 的 选择 不 唯一 ， 它 依赖 于 x。 
4. 在 模型 中 ， 公 式 


Va Vy Viel (x Sy) > (x-2S yz)) 
含义 是 ， 对 每 个 字 *， 只 要 字 5 是 s, 的 前 级 ， 则 s,s 必然 是 s,s 的 前 级 。 这 显然 不 是 真 的 。 例 如 ， 取 。 为 
0l, s HOM, s HO, 
5. 在 模型 中 ， 公 式 
7 de V¥((xsy¥) (ys x)) 

含义 是 不 存在 这 样 的 字 *， 只 要 * 是 另 一 个 字 % OMB, Ws, 也 是 ; 的 前 级 。 这 是 真 的 ， 因 为 确实 不 存在 这 
样 的 *。 为 简单 起 见 ， 假 设 存在 这 样 一 个 字 *， 则 * 显然 是 :0 的 前 组， 但 是 ;0 却 不 是 ON, AH 0 比 s 
多 一 位 。 

模型 的 记 法 是 非常 自由 开放 的 ， 意 识 到 这 一 点 是 很 关键 的 。 选择 一 个 非 空 集合 4， 其 元 
素 就 是 现实 世界 中 对 象 的 模型 以 及 具体 的 函数 和 关系 ， 分 别 表示 为 函数 符 导 和 谓词 符号 。 对 
这 些 内 容 仅 有 一 点 要 求 是 4 上 的 具体 函数 和 关系 作为 语法 的 对 应 部 分 ， 必 须 有 相同 个 数 的 
变量 。 

然而 ， 作 为 这 样 一 个 模型 的 设计 者 或 实现 者 ， 有 责任 明智 地 选择 模型 。 模 型 应 该 是 要 模 
型 化 对 象 的 一 个 足够 精确 的 场景 ， 而 与 此 同时 ， 必 须 与 任务 无 关 的 方面 抽象 掉 ( 忽 略 掉 ) 。 

例如 ， 建 立 一 个 家 庭 关 系 的 数据 库 ， 将 father-of(x, 7) 解 释 为 “x 是 y 的 女儿 ”是 一 个 思 
于 的 行为 。 同 样 道理 ,我 们 也 不 会 选择 谓词 “ 比 …… 高 ” ， 因 为 在 这 个 模型 里 ， 焦 点 仅仅 是 
由 血缘 确定 的 关系 。 当 然 也 不 排除 向 数据 库 添上 附加 的 特征 。 

对 一 个 函数 和 谓词 对 ( 下，P) ， 给 定 一 个 模型 M， 我 们 现在 要 做 的 工作 基本 上 是 形式 地 
计算 仅 由 来 自 ( 和 大，P) 的 函数 和 谓词 符号 的 谓词 逻辑 中 公式 的 真 值 。 还 有 一 个 问题 需要 讨 
论 。 BAAR YV ro Ki xd, 要 分 别 验证 由 是 否 对 模型 里 所 有 的 或 对 某 个 值 a 成立。 然而 这 
是 直观 上 的 说 法 ， 我 们 没有 办 法 从 语法 角度 表达 这 个 含义 : 一 般 情况 下 ， Ad 以 x 作为 自 
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由 变量 ; 由 [axx] 很 好 地 反映 了 我 们 的 意图 ， 但 形式 很 糟糕 ， 因 为 [ax] 不 是 逻辑 公式 ， 因 
为 ae 不 是 一 个 项 ， 而 是 模型 中 的 一 个 元 素 。 

因此 ， 这 迫使 我 们 相对 一 个 环境 (relative to an environment) 解释 公式 。 可 以 从 不 同方 面 
来 考虑 环境 。 本 质 上 讲 ， 它 们 是 所 有 变量 的 查询 表 ; 这 个 表 1 将 每 个 变量 % 与 它 在 模型 中 的 
值 (x) 联 系 起 来 。 因 此 可 以 说 ,环境 其 实 就 是 从 变量 集 var 到 相关 模型 中 值 的 论 域 集合 4 
的 函数 L: var 一 4。 给 定 这 样 一 个 查询 表 ， 可 以 指派 真 值 到 所 有 公式 。 然 而 ， 对 这 些 计 算 中 
的 某 些 内 容 ， 我 们 需要 修正 查询 表 。 

定义 2. 17 对 具体 值 的 论 域 4， 一 个 查询 表 或 环境 指 的 是 从 变量 集 var 到 4 的 函数 1， 
var 一 4。 对 这 样 的 !/， 用 2x +> a] RAR x AB a 并 且 将 其 他 变量 7y RB My) 的 查询 表 。 

最 后 ， 可 以 给 出 谓词 逻辑 公式 的 语义 了 。 对 命题 逻辑 来 讲 ， 我 们 通过 真 值 表 做 到 了 这 一 
点 。 显 然 ， 知 道 在 什么 情况 下 其 值 为 了 就 足够 了 。 

定义 2. 18 BEKP MF, P) 的 模型 人 (和 环境 1， 对 于 (三 ，P) 上 的 每 个 逻辑 公式 由， 
通过 对 $ 的 结构 归纳 定义 一 个 满足 关系 MFi$。 若 MEi4$ 成 立 ， 则 称 在 模型 M 中 ， 相 对 于 
环境 1， 中 的 赋值 为 T。 

P: WR p RERA PO, h, +, 6), WERAA PH, G, o, n REA: 把 所 有 变量 根据 1 的 
值 代替 。 用 这 种 方式 ， 对 每 项 (通过 fe ) 计 算 a, a, =, a, 的 值 ， 其 中 任何 函数 符号 fe 通过 /* 来 解 
FE PRIEME,P(t,, h, 0, L)HEIL Ca, a,,…, a.) EeP“, 

Va: RME: xy M4 AMY ME raat 对 所 有 ae A 都 成 立 。 

da: HWE, ME dab 成 立 当 且 仅 当 MFi_ oy WET ae 4 成 立 。 

一 : 关系 MF, 一 步 成 立 当 且 仅 当 AMFiy 不成立。 

V: RAMEW, Ab, 成 立 当 且 仅 当 MFiw, 成 立 或 MF p, 成 立 。 

A: RAMEW, Ay, 成 立 当 且 仅 当 MFiyw, AME Wb, 都 成 立 。 

>: 关系 MEFiy, 一 ,成立 当 且 仅 当 只 要 MFEiy, 成 立 ， 则 MFEiw, 成 立 。 

有 时 我 们 用 ME,$ 表示 MFEig 不 成 立 。 

对 公式 的 语法 分 析 树 的 高 度 ， 有 一 个 直接 的 归纳 论断 ， 即 MEig RY ALY MEd 
成 立 ， 只 要 1 与 /是 由 的 自由 变量 集 上 的 两 个 相同 环境 。 特 别 地 ， 如 果 由 根本 没有 自由 变 
E, 我 们 称 由 是 一 个 语句 。 此 时 不 考虑 环境 /的 选择 ， 可 以 推出 (Fi 成 立 或 不 成 立 。 因 
此 ， 对 语句 由 来 讲 ， 我 们 经 常 省 去 1， 直接 写 人 (F 小 ， 因 为 这 时 关系 的 成 立 与 否 ， 与 环境 / 
的 选择 无 关 。 

例 2. 19 用 另外 一 个 简单 的 例子 来 解释 一 下 上 面 的 定义 。 令 A 苦 iaima| ，P 些 |loves| , 
其 中 alma 是 一 个 常量 ，loves 是 两 个 变量 的 谓词 。 选 择 模型 Mt 包括 个 体 集 4 “Ala, b, c), 
常量 函数 ama” =a, WRF loves” =| (a, a), (b, a), (c, a)} (如 loves” 所 要 求 
的 ， 有 两 个 变量 ) 。 我 们 想 要 检测 模型 人 4 是 否 满足 ; 

alma 的 情人 的 情人 没有 一 个 爱 alma, 
首先 ,我们 需要 在 谓词 逻辑 中 表达 这 个 语句 (也 许 道德 上 令 人 担忧 ) 。 下 面 是 它 的 编码 (正如 
已 经 讨论 过 的 ， 不 同 但 逻辑 等 价 的 编码 是 可 能 的 ) ; 
V x V y(loves(x,alma) ^ ioves(y,x) -一 一 loves(y,alma) ) (2-8) 
模型 M 满 足 这 个 公式 吗 ? 当然 不 满足 。 我 们 可 以 取 % 为 a, 取 y 为 8。 因 为 (a， a) ER 
A loves” H, FA(b, a) 也 在 集合 loves” 中 ， 我 们 需要 证 明 后 者 是 不 成 立 的 ， 因 为 它 是 
loves(y, alma) 的 解释 ; 但 这 是 不 成 立 的 。 
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如 果 我 们 修改 一 下 模型 ， 将 M 改 为 M'， 且 保持 4 和 alma” 不 变 ， 重 新 定义 loves HH 
FA loves | (b, a), (c, 5)}， 情 况 会 是 怎样 的 呢 ? 这 时 恰好 有 一 个 alma 的 情人 的 情 
Ac; ic KE alma 的 情人 中 的 一 员 。 因 此 ， 在 模型 AM' 中 ， 公 式 (2-8) 是 成 立 的 。 


2. 4.2 语义 推导 


EREZA H, ELEF p, d es p, 下沙 成 立 当 且 仅 当 所 有 p, dr, s 6, 均 赋 
值 为 T 时 ， 公式 上 也 赋值 了。 考虑 到 MEFiq 是 用 一 个 环境 所 标记 的 ， 那 么 ， 对 谓词 逻辑 里 的 
公式 ， 我 们 怎样 定义 这 样 一 个 记号 呢 ? 

定义 2.20 设 工 是 谓词 逻辑 中 的 公式 集合 (可 能 是 无 限 集合 ) ， 少 是 谓词 逻辑 公式 。 

1. 语义 推导 fr 上 yw 成 立 当 且 仅 当 对 所 有 的 模型 M 和 查询 表 !， 对 所 有 的 del, MEd 都 成 立 ， 则 
ME wh ERX 

2. 公式 yy 是 可 满足 的 当 且 仅 当 存 在 某 个 模型 M 和 环境 !， 使 得 MEF, 成 立 。 

3. 公式 少 是 有 效 的 当 且 仅 当 在 我 们 能 够 检测 的 所 有 模型 M 和 环境 1 中 ，MEiy 成 立 。 

4. 集合 T 是 一 致 的 或 可 满足 的 当 且 仅 当 存在 一 个 模型 M 和 一 个 环境 !， 使 得 对 所 有 的 公式 der, 
ME 成 立 。 

在 谓词 逻辑 中 ， 符 号 上 有 更 多 的 含义 ; 它 表 示 模 型 检测 “MEF 由 "和 语义 推导 o, 
中 ,，… ,中 ,FF 沙 。 从 计算 角度 讲 ， 这 里 的 每 个 记号 都 意味 着 有 麻烦 出 现 。 首 先 ， 建立 ME 小 
就 会 产生 问题 。 如 果 在 机 器 上 做 这 个 工作 ， 只 要 AM 的 具体 值 的 论 域 4 是 无 限 的 ， 就 会 产生 
间 题 。 在 这 种 情况 下 ， 要 检测 语句 Vxy (其 中 x 在 yy PRAM), 意味 着 对 无 限 多 元 素 a 
BEME umay 是 否 成 立 。 

第 二 ， 更 为 严重 的 是 ， 尝 试验 证 由 6, °°, 6 EY 是 否 成 立 ， 不 得 不 检测 所 有 可 能 
的 模型 ， 这 些 模 型 被 赋予 正确 的 结构 ( 即 这 些 函 数 和 谓词 都 有 与 之 相 匹 配 的 变量 数目 ) 。 这 
个 任务 用 机 器 是 不 可 能 完成 的 。 这 应 该 与 命题 逻辑 中 的 情形 形成 对 比 ， 涉 及 命题 的 真 值 表 计 
算是 成 功 运算 这 个 关系 的 基础 。 

然而 ， 有 时 可 以 推出 某 些 特 定语 义 推导 是 有 效 的 。 可 以 通过 证 明 一 个 不 依赖 于 现 有 的 实 
际 模型 的 论据 来 实现 。 当 然 这 只 对 非常 有 限 的 情况 有 效 。 最 难 突破 的 是 量词 等 价 关 系 ， 这 种 
情形 我 们 已 经 在 自然 演绎 部 分 过 到 了 。 下 面 来 看 一 些 关于 语义 推导 的 例子 。 

例 2.21 语义 推导 

Vx( P(x) + Q(x)) E Vx P(x) + Vx Q(x) 
的 验证 如 下 : 设 M 是 满足 Vx(P(x)->0(x) ) 的 模型 ， 需要 证 明 M 也 满足 VxP(x) 一 VxQ(x)。 
观察 MF pop 的 定义 ， 可 以 看 出 ， 如 果 不 是 模型 的 所 有 元 素 都 满足 P， 那 么 问题 就 解决 
了 。 否 则 ， 每 个 元 素 都 满足 P。 但 是 ， 由 于 AM 满足 Vx(P(x) 一 0(x))， 后 者 事实 上 使 得 模 
型 里 的 每 个 元 素 也 满足 0。 综 合 上 述 的 两 种 情形 ( 即 M 里 的 所 有 元 素 都 满足 PP， 或 者 反之 )， 
我 们 证 明了 A 满足 VxP(x)->Vx0(x)。 

上 述 情 形 的 逆 怎 样 呢 ?” 即 

Vx P(x) + Vx Q(x) E Vr(P(x) > Q(x)) 
是 否 也 有 效 呢 ? 这 几乎 是 不 可 能 的 ! 假设 M' 是 满足 VxP(x) 一 Vx0(%) 的 模型 。 如 果 这 个 模 
型 的 相关 集合 是 4 ，P” 和 0“ 是 相应 于 P 和 0 的 解释 ， 则 MM 和 个 VxPx) 一 Vx0(x) 表 示 ， 若 
P” 等 于 4'， 则 0” 也 等 于 4'。 然 而 ， 若 P% 不 等 于 4， 则 这 个 列 涵 关系 仍然 成 立 ( 不 管 ， 
实际 为 何 ， 总 有 了 了 一， =T) 。 在 这 种 情况 下 ， 对 模型 A(' 没 有 任何 约束 。 经 过 这 些 考 察 ， 构 
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建 一 个 反例 模型 就 很 容易 了 。 令 4' 苦 je， 中 ，P% 兰 |oj mols}, WM'EVsP(«) > 
VxQ(x) 成 立 , 但 M'FYx(P(x)0(x) ) 不 成 立 。 


2.4.3 相等 的 语义 


我 们 已 经 指出 了 谓词 勾 辑 语义 的 无 限制 特 伍 。 给 定 一 个 函数 符号 集 敌 和 谓词 符号 P 上 的 
谓词 逻辑 结构 ， 只 需要 一 个 非 空 集合 4， 以 及 具体 的 函数 或 元 素 /“，( 因为 fe 下) 和 具体 的 
W POJ PeP), CMEA 里 必须 与 指定 的 元 数 相 匹配 。 需 要 强调 的 是 ， 对 大 多 数 模型 ， 
其 中 的 函数 和 谓词 都 有 自然 的 解释 ,但 语义 推导 ($,，,，…，g, 下沙 ) 实 际 上 是 依赖 于 所 
有 可 能 的 模型 ， 甚 至 是 一 些 看 上 去 没有 任何 实际 意义 的 模型 。 

显然 ， 我 们 无 法 避 开 语义 推导 的 这 个 特点 。 例 如 ， 如 何 为 那些 无 意义 的 模型 和 有 意义 的 
模型 画 一 条 界线 呢 ? 任何 这 样 的 选择 或 标准 集合 不 是 主观 的 吗 ? 如 果 对 想 要 模型 化 的 问题 域 
做 微小 的 调整 而 导致 了 一 些 变化 ,那么 ， 这 些微 小 的 调整 导致 的 这 些 约束 也 会 禁止 我 们 修改 
模型 。 在 谓词 迎 辑 里 ， 有 很 多 好 的 理由 保持 这 种 针对 模型 的 自由 特性 。 

然而 ,这 里 有 一 个 著名 的 反例 。 人 们 常常 提 及 这 样 的 谓词 逻辑 ， 总 是 有 一 个 特殊 的 谓词 = 
用 来 标识 相等 (回顾 2.3.1 节 ); 它 有 两 个 变量 ，5 =4 表达 的 含义 是 : 项 Me, 有 相同 的 计 
算 结 果 。 我 们 在 2. 3. 1 节 自然 演绎 部 分 讨论 了 它 的 证 明 规 则 。 

从 语义 角度 看 ， 人 们 这 样 认识 “相等 "在 逻辑 中 的 特殊 作用 : 解释 函数 =“ 为 关于 模型 
Mee Dhan ane nat ne Eik, Cos 的 属 于 集合 =“ 当 上 且 仅 当 。 和 4 是 集合 4 中 的 相 
同 元 素 。 例 如 ， 给 定 4 兰 |c，5，ec}| ， 相 等 的 解释 = 名 必然 是 |(a，a) ，( 有， b), (e, e)}o 
因此 ， 相 等 的 语义 并 不 难 ， 因 为 它 总 是 可 以 外 延 进行 建 模 。 


2.5 谓词 逻辑 的 不 可 判定 性 


我 们 继续 介绍 谓词 逻辑 中 的 一 些 负面 的 结果 。 在 命题 逻辑 中 ， 给 定 公 式 四， 至 少 原则 上 
我 们 可 以 判定 F p 是 否 成 立 : 若 四 有 个 原子 命题 ， 那么 的 真 值 表 有 2" 行 ; F 由 成 立 当 
且 仅 当 真 值 表 中 对 应 于 由 的 那 一 列 (长 度 是 2") 都 是 T。 

BH, EMAL, LAM HARK $ 都 奏效 的 机 械 化 程序 是 无 法 提供 的 。 我 
们 将 给 出 这 个 否定 结果 的 一 个 形式 证 明 ， 尽 管 要 依赖 可 计算 性 的 一 种 非 形式 的 (然而 是 直观 
的 ) 概念 。 

判断 一 个 谓词 多 辑 公式 是 否 有 效 的 问题 称 为 判定 问题 (decision problem) 。 判 定 问 题 的 解 
是 一 个 程序 ( 即 用 Java, C 或 其 他 语言 写 的 程序 ) : 将 问题 的 实例 作为 输入 ， 并 且 总 是 可 终止 
的 ,产生 一 个 正确 的 “是 ?或 “ 非 "的 输出 。 对 谓词 逻辑 中 的 判定 问题 ， 程 序 的 输入 是 谓词 逻 
辑 的 任意 公式 6， 假 如 输入 公式 是 有 效 的 ， 则 输出 “是 ” 反之 ， 则 输出 “ 否 ”"， 那 么 程序 是 
正确 的 。 注 意 ， 对 于 所 有 合式 输入 ,求解 判定 问题 的 程序 必须 是 可 终止 的 ， 即 不 允许 永远 都 
在 做 “思考 状 "的 程序 。 现 有 的 判定 问题 是 这 样 的 : 


谓词 逐 辑 的 有 效 性 。 给 定 谓词 逻辑 中 一 个 逻辑 公式 由， 上 由 成 立 或 不 成 立 ? 
我 们 现在 来 证 明 这 个 问题 是 不 可 解 的 ; 我 们 不 能 写 出 对 所 有 公式 中 都 正确 的 C Java 
程序 。 乔 清楚 我 们 陈述 的 问题 是 十 分 重要 的 。 自 然 ， 有 一 些 很 容易 看 出 是 有 效 的 公式 o; 另 


一 些 很 容易 看 出 是 无 效 的 。 然 而 还 有 一 些 公式 o, 并 不 容易 看 出 它们 是 有 效 的 还 是 无 效 的 。 
原则 上 讲 ， 如 果 准 备 付 出 异常 辛苦 的 话 ， 每 个 公式 由 都 可 以 通过 验证 得 出 是 有 效 的 还 是 无 
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效 的 ， 但 是 对 所 有 的 由 ， 不 存在 一 个 统一 的 可 机 械 执 行 的 程序 能 够 判定 p 是 否 有 效 。 
我 们 用 称 为 问题 归 约 法 (problem reduction) 的 著名 技术 来 证 明 。 即 ， 选 择 另 一 个 已 知 是 
不 可 解 的 问题 ， 然 后 用 现在 问题 的 可 解 性 推出 被 选择 问题 的 可 解 性 。 这 堪 称 对 证 明 规 则 一 i， 
”~e 的 完美 应 用 ， 因 为 我 们 利用 它 推出 现在 研究 的 判定 问题 是 不 可 解 的 。 
已 知 波斯 特 对 应 问题 (The Post correspondence problem) 是 不 可 解 的 ， 它 本 身 非 常 有 趣 ， 
而 且 乍 看 起 来 与 谓词 逻辑 没 多 大 关系 。 


波斯 特 对 应 问题 。 已 知 有 限 序列 对 (s，， tL), (s2, t,), ney (s,, t), 其 中 所 有 的 
S, ¢ 都 是 正 长 度 的 二 进 制 字 符 串 。 是 否 存 在 下 标 序 列 训 ， 计 ，…， 计 (n 宇 1)， 使 得 字符 
串 的 串联 sasa Sm F T tatott bm? 


下 面 是 该 问题 能 成 功 求解 的 一 个 实例 : 具体 的 对 应 问题 实例 C 有 三 对 序列 C 兰 ((1，101)， 

(10，00) ，(011，11) ) ， 于 是 
s,=1 5,10 5,011 
t,==101 00 #11 
该 问题 的 一 个 解 是 下 标 序 列 (1，3，2，3)， 因 为 s,s;s2s A tyt,t,¢, 都 等 于 101110011, tE iF 
你 会 以 为 这 个 问题 确实 是 可 解 的 ， 但 要 记 住 一 一 个 计算 解 应 该 是 一 个 可 以 求解 所 有 这 样 问题 的 
程序 。 倘 若 我 们 看 下 面 这 个 (可 解 的 ) 问 题 ， 情 况 已 经 变 得 困难 了 : 
s,=001 s,01 s, 01. s, 10 
=o +01 1,101 +,001 

现在 要 求 用 手 算 或 写 出 这 个 特殊 问题 的 程序 。 

注意 ,在 下 标 序列 里 ， 同 样 的 数字 可 以 多 次 出 现 ， 就 像 在 第 一 个 例子 里 3 出 现 了 两 次 。 
这 意味 着 我 们 要 处 理 的 搜索 空间 是 无 限 的 。 这 也 许 给 了 我 们 某 些 提示 : 这 个 问题 是 不 可 解 
的 。 然 而 在 本 书 里 ， 我 们 不 形式 地 证 明 这 个 问题 。 下 面 定理 的 证 明 由 数学 家 A. Church 作出 。 

定理 2. 22 谓词 还 辑 中 的 有 效 性 判定 问题 是 不 可 判定 的 : 不 存在 对 任意 给 定 的 四 ， 判 
定 上 中 是 否 成 立 的 程序 。 

证 明 如 前 所 述 ， 假 设 谓词 逻辑 的 有 效 性 是 可 判定 的 ， 因 此 求解 (不 可 解 的 ) 波斯 特 对 
应 问题 。 已 知 对 应 问题 的 实例 C: 

S1 32 3 
Ey byork, 

我 们 需要 在 有 限 的 空间 和 时 间 里 ， 构 建 对 所 有 实例 都 一 致 的 谓词 逻辑 公式 ， 使 得 F 由 成 
立 ， 当 且 仅 当 波 斯 特 对 应 问题 C 有 一 个 解 。 

作为 函数 符号 ， 选 择 一 个 常量 e， 以 及 两 个 需要 一 个 自 变 数 的 函数 符号 f, 和 /f;。 把 e 视 
为 空位 符 串 或 空 字 , fh Mf, 分 别 代表 与 0 和 1 拼接 。 所 以 , $ bbb, 是 二 进 制 位 的 字符 
串 ， 将 它 编码 为 项 f,(f。， … (有 , (fh,(e)))…)。 注 意 ， 这 个 编码 的 拼写 顺序 是 从 前 向 后 的 。 
为 了 便于 阅读 那些 公式 ， 将 有 Ch，… Pa, Ai, (O°) ISH Ai, Bi (2) o 

现在 需要 一 个 有 两 个 变量 的 谓词 符号 P。P(s, i) 要 表达 的 含义 是 存在 某 个 下 标 序列 
(i, i, ty in), WEI s 是 表示 sasas HON, 是 表示 hatat 的 项 。 因 此，s 和 + 一样， 
使 用 同样 的 下 标 序列 构造 出 一 个 位 串 ; 只是。 EAs 而 1 使 用 4。 

语句 由 有 一 个 粗 的 结构 6,4 由 一 由 ， 其 中 ， 
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b= A PULA) fle)) 


d, = Yv Vw(P(o,w) > A PC Co f,(w)) ) 


$; 4, P(z,2) 

论断 F > Ror, HNR NA SM CAR. 

首先 假设 F 中 成 立 。 我 们 的 策略 是 寻找 一 个 由 的 模型 ， 通 过 观察 满足 这 个 特殊 模型 的 由 
的 含义 ， 可 以 知道 波斯 特 对 应 问题 C 有 解 。 该 模型 中 的 具体 值 4 的 论 域 是 所 有 有 限 的 二 进 
制 串 的 集合 (包含 记 为 e 的 空 串 ) 。 

常量 e 的 解释 e” 就 是 空 串 e。 态 的 解释 是 一 元 函数 内， 含义 是 在 给 定 的 位 串 后面 加 一 
ABZ, HA (s)= 90; Kb, A (s)= sl 在 给 定 的 位 串 后 面 加 1。 忆 在 W( 上 的 解释 正如 我 
们 所 期 待 的 那样 : 

PM 2h (s, t) | 存在 指标 序列 (i ， h, e, in), 使 得 s 等 于 $,5,,°°S,5 CET ttt, | 
其 中 s 和 上 是 二 进 制 串 ， 而 s Me, 是 波斯 特 对 应 问题 C PAR, SPER (s, t) 属于 
P“ 当 且 仅 当 用 相同 的 下 标 序 列 (i ，i，…，i)，s 和 上 分 别 用 相应 的 s 和 上 拼接 得 到 。 

因为 F 由 成 立 ， 可 以 推出 人 AIF 由 也 成 立 。 我 们 断言 AtF 由 也 成 立 ， 其 含义 为 : RE 
(s, t)RFP“, WXi=1, 2, =, k, EX Cs s, tt) WRF P4( 可 以 通过 考察 PM 的 定义 
来 验证 ) 。 现 在 (*，6) eP“ 意味 着 存在 某 个 序列 (二 ， b, e, in), Bs EF syss t 
等 于 与 名 二。 我 们 只 需 选 择 一 个 新 的 序列 (二 ,天 ，…， 各 ,站 ， 得 到 sw SF 5,5, SS 
tt EF tant tio 因此, HAME p, 也 成 立 。( 为 什么 MF pi 成 立 ?) 

因为 ME 由 ^ 由 一 由 AMME 由 ^ 由 RE, AIE, ME p, 也 成 立 。 根 据 由 MP“ 的 定 
义 ， 这 个 事实 告诉 我 们 问题 C 存在 解 。 

反之 ,假设 波斯 特 对 应 问题 C 有 解 ， 即 下 标 序列 (二 , 亡 ，…, 站 )。 现 在 ,我们 必须 证 
明 : 车 M' 是 含有 常量 ew”、 两 个 一 元 函数 1 和 .所 ' ， 以 及 二 元 谓词 P 的 任意 模型 ， 则 它 必 
须 满足 >. ER 由 的 语法 分 析 树 的 根 结 点 是 一 个 蕴涵 关系 ， 所 以 它 是 M' 上 上 由 定义 中 的 关键 
子 名 。 根 据 这 个 定义 ， 如 果 M'kg, 或 M4'kKg$,， 则 间 题 得 到 解决 。 因 此 ， 比 较 难 的 部 分 是 情 
形 M'F 由 ^ 和 ， 在 这 种 情形 还 要 证 明 A4'F $,。 这 里 我 们 采取 在 模型 M' 的 值 集合 4' 的 域 中 
解释 有 限 的 二 进 制 串 。 这 和 一 种 编程 语言 在 另 一 种 语言 的 解释 器 的 编码 是 不 一 样 的 。 这 个 解 
释 通 过 一 个 在 有 限 二 进 制 串 数 据 结构 递归 定义 的 函数 interpret 来 完成 ， 

interpret ( s) e" 

interpret ( s0) f" ( interpret (s) ) 


interpret (s1 )== f ( interpret (s) ) 
HER, interpret(s) Xf s 的 长 度 递归 定义 。 同 上 述 编码 一 样 ， 这 个 解释 是 从 前 向 后 的 。 例 如 字符 
P 0100110 REH A CAS RE RY RM CR (em )))))))。 注 意 interpret ( b,b, ---b,) = 
Fe Gk Cr Gh (e) +) EE ABS (0) M&M, Heh s 等 于 bibbo MAX- BABE 
M'Ep, RIH, Xt i=1, 2, =, k, (interpret(s,), interpret(t,)) e P”。 类 似 地 ， 因 为 
AM'F$,， 我 们 知道 ， 对 所 有 (s, t) eP, i=1, 2, =, k, A (interpret (ss; ) interpret(,) ) 
e P” 。 利 用 这 两 个 事实 ， 从 (s, £) = (si ，&) 开 始 ， 反 复 使 用 后 面 这 个 观察 ， 得 到 
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(interpret(s,s,,---s,) ,interpret(t, t,---t,)) e pw (2-9) 
AAs. s,s, A t tat BERS C 的 一 个 解 ， 所 以 它们 是 相等 的 。 因 此 interpret(s, s, --- 
s ) 和 interpret(t,¢,--1, ) 是 4 中 的 相同 元 素 ， 因 为 相同 内 容 的 解释 带 来 相同 的 结果 。 所 以 
5X (2-9) HERR TEMP, AzP(z, z), FRM'E 由 。 口 
现在 我 们 还 可 以 非常 容易 地 得 到 两 个 否定 结果 。 回 忆 一 下 ， 公 式 由 是 可 满足 的 ， 是 指 
存在 某 个 模型 M 和 环境 1 使 得 和 M'F 由 成 立 。 这 个 性 质 并 非 想当然 成 立 的 。 公 式 3 x(P(x) 人 ^ 
一 P(x) ) 显 然 是 不 可 满足 的 。 更 有 趣 的 是 我 们 通过 观察 得 到 : 4$ 是 不 可 满足 的 当 目 仅 当 一 上 
是 有 效 的 ， 即 一 中 在 所 有 模型 里 都 成 立 。 这 是 否定 AMF: 一 由 定义 子 句 的 直接 结果 。 由 于 我 
们 不 能 计算 有 效 性 ， 所 以 也 不 能 计算 可 满足 性 。 
另 一 个 不 可 判定 性 结果 来 自 下 面具 有 特殊 形式 的 命题 的 谓词 逻辑 的 合理 性 和 完备 性 ， 
E 中 成 立 , 当 且 仅 当 F 由 (2-10) 
本 书 不 做 证 明 。 对 式 (2-10) ， 不 能 判定 有 效 性 ， 所 以 也 不 能 判定 可 证 性 (provabilty ) 。 我 们 应 
该 对 这 个 否定 结果 有 所 思索 。 如 果 要 得 到 一 个 完美 的 定理 证 明 器 一 一 它 可 以 机 械 地 产生 或 推翻 
一 个 给 定 公式 的 证 明 ， 那 么 ， 这 不 是 个 好 消息 。 然 而 ， 如 果 能 够 给 机 器 一 些 人 为 帮助 ， 这 个 结 
果 还 是 不 错 的 。 因 为 把 这 个 工作 留 给 机 器 来 做 是 不 可 行 的 ， 毕 竟 机 器 的 创造 力 是 有 限 的 。 


2.6 谓词 逻辑 的 表达 能 力 


谓词 逻辑 比 命题 逻辑 有 更 强 的 表达 能 力 ， 它 有 谓词 、 函 数 符号 和 量词 符号 。 这 种 强大 的 
表达 能 力 是 以 牺牲 有 效 性 ， 可 满足 性 和 可 证 明 性 的 不 可 判定 为 代价 的 。 然 而 ， 好 消息 是 关于 
模型 的 公式 检测 是 实用 的 ; 关系 数据 库 的 SQL 查询 和 XML 文档 的 XQuery 都 是 体现 这 种 实用 
性 的 例子 。 

软件 模型 、 设 计 标 准 和 硬件 或 程序 的 执行 模型 经 常 通过 有 向 图 概念 来 描述 。 这 样 的 模型 
A 人 就 是 定义 在 具体 “状态 ”集合 4 上 的 二 元 谓词 R 的 解释 。 

例 2. 23 给 定 状态 集合 4 = [s s, s s), R“ ERAI 51)，(s1, 5), (5, 
s1), (sis S2), (S25 So), (Sas So), (s3, s2)}o WAA 2-5 所 示 的 有 向 图 描述 这 个 模型 ， 
当 且 仅 当 (s，s') e R”， 存 在 一 条 从 结 点 s 到 结 点 ;的 边 。 在 这 种 情形 下 ， 通 常 记 做 ss'。 


So 53 


31 32 


图 2-5 一 个 有 向 图 ， 是 两 个 参量 的 谓词 符号 的 模型 M。 一 个 结 点 对 (n,n') 在 RR 的 解释 R” 中 ， 
当 且 仅 当 图 中 有 一 个 从 结 点 n 到 结 点 a’ 的 迁移 ( 边 ) 


许多 应 用 的 有 效 性 均 要 求证 明 从 一 个 “好 ”状态 不 能 到 达 一 个 “ 坏 ” 状 态 。 而 “好 ”和 “ 坏 ” 
的 含义 取决 于 所 讨论 的 问题 。 例 如 ， 一 个 好 状态 可 以 是 一 个 整数 表达 式 ， 如 yx (y-1), R 
予 一 个 安全 指标 KA 10 的 数组 a。 一 个 坏 状态 则 赋予 非 安 全 值 ， 如 将 这 个 整数 表达 式 
赋 以 不 安全 的 值 11 ， 导 致 * 溢 出 例外 "”。 本 质 上 讲 ， 判断 一 个 好 状态 是 否 会 转化 为 一 个 坏 的 
状态 是 有 向 图 中 的 可 达 性 (reachability) 问 题 。 

ARH: 给 定 有 向 图 中 的 结 点 和 n’， 是 否 存在 从 nn 到 n' 的 有 限 长 度 的 迁移 路 径 ? 
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在 图 2-5 中 ， 从 状态 s。 HR, s 是 可 达 的 ， 即 通过 路 径 so 一 s1 一 s,。 约 定 每 个 状态 都 有 
长 度 为 零 的 路 径 到 达 它 本 身 。 然 而 ， 状 态 ss 从 so。 是 不 可 达 的 ， 从 s 出 发 ， 只 有 状态 sy s 
Als, 是 可 达 的 。 了 解 这 个 概念 的 明显 重要 性 之 后 ， 能 否 在 谓词 逻辑 中 表示 可 达 性 问题 呢 ? 
毕竟 谓词 逻辑 的 表达 能 力 如 此 之 强 ， 以 致 于 它 是 不 可 判定 的 。 将 这 个 问题 说 得 更 精确 些 : 能 
否 找 到 仅 以 w Me 为 仅 有 自由 变量 的 谓词 逻辑 公式 中 和 仅 有 的 二 元 谓词 符号 尺 ， 使 得 小 在 有 
向 图 中 成 立 当 且 仅 当 有 向 图 中 存在 一 条 从 与 u 相对 应 的 结 点 到 与 "相对 应 的 结 点 的 路 径 。 例 
如 ， 我 们 可 以 尝试 写 : 

uw=vv jx(R(u, x)^ R(x, v))VAx, dx,(R(u, x) ^A R(x, 4, )A R(x, v)) Ver 
这 个 公式 是 没有 尽头 的 ， 所 以 它 不 是 一 个 合式 公式 。 问 题 在 于 : 能 否 找 到 具有 相同 含义 的 合 
RAK? 

令 人 吃惊 的 是 ， 这 是 不 可 行 的 。 为 了 证 明 这 一 点 ， 需 要 记录 一 个 谓词 逻辑 自然 演绎 完备 
性 的 一 个 重要 结论 。 

定理 2. 24( 紧 致 性 定理 ) 设 工 是 谓词 远 辑 的 一 个 语 和 多 集合 。 若 工 的 所 有 有 限 子 集 都 是 
可 满足 的 ， 则 工 也 是 可 满足 的 。 

证 明 用 反 证 法 证 明 : 假设 是 不 可 满足 的 ， 那 么 语义 推导 工 卡 成立， 因为 没有 模型 
使 所 有 的 per 都 为 真 。 由 完备 性 ， 这 意味 着 和 撩 列 荆 -1 是 有 效 的 。( 注 意 ， 这 里 用 到 了 关于 
矢 列 的 更 一 般 的 概念 ， 可 以 处 理 无 限 多 个 前 提 。 合 理性 和 完备 性 依然 为 真 ,) At, EAR 
演绎 中 ， 这 个 矢 列 有 一 个 证 明 ; 只 能 是 上 下 文 的 一 个 有 限 片段 ， 只 能 使 用 TT 中 有 限 个 前 提 
集合 A。 但 是 A 上 -1 也 是 有 效 的 ， 因 此 ， 由 合理 性 ， 有 A FL。 但 是 后 者 与 下 的 所 有 有 限 子 
集 都 是 可 满足 的 矛盾 。 口 

由 这 个 定理 ， 可 以 导出 一 些 有 用 的 方法 。 我 们 介绍 一 个 保证 无 穷 大 模型 存在 的 技术 。 

定理 2.25(Lowenheim- Skolem 定理 ) 设 沙 是 谓词 逻辑 的 一 个 语句 ， 对 任何 自然 数 


n 之 1， 硝 在 小 的 至 少 有 n 个 元 素 的 模型 。 则 小 有 无 限 个 元 素 的 模型 。 。 
证 有 明 公式 b, “4x, qa, dx, Aisicjen 1 (%, =2%) 说 明 至 少 有 n 个 元 素 。 考虑 语句 集合 


Tiy] U 1g, 1 n>1|} ， 并 设 A 是 其 任意 一 个 有 限 子 集 。 设 >1 满足 : 对 所 有 使 eA 的 
n，n 志 k。 因 为 后 一 个 集合 是 有 限 的 ， 所 以 & UREE, HER, iy, p) 是 可 满足 的 ; 但 
对 所 有 nak, pop, 是 有 效 的 (为 什么 ?)。 因 此 ，A 也 是 可 满足 的 。 紧 致 性 定理 蕴涵 ， 某 
个 模型 4 满足 T; 特别 地 ，AfF 乡 成 立 。 因 为 对 所 有 n 宇 1，M 满 足 $9,， 所 以 AM 不 可 能 只 有 
有 限 个 元 素 。 口 

现在 我 们 可 以 证 明 ， 可 达 性 用 谓词 逻辑 是 不 可 表达 的 。 

定理 2. 26 可 达 性 用 谓词 逻辑 是 不 可 表达 的 ; 不 存在 仅 以 一 和， 为 自由 变量 且 仅 有 一 
个 二 元 谓词 符号 尺 的 谓词 远 辑 公式 由， 使 得 中 在 有 向 图 中 成 立 当 且 仅 当 该 有 向 图 中 存在 一 条 


证 明 假设 存在 一 个 公式 5， 满足 存在 一 条 从 与 u 相伴 的 结 点 到 与 v 相伴 的 结 点 的 路 
径 。 设 c 和 c' 是 常量 , RO, BAR, 表达 存在 一 条 从 <。 到 c' 的 长 度 为 n 的 路 径 : 我 们 定义 
和 为 c=c', 四 是 R(c,，c')， 且 对 n>1， 定义 
b, = 44x, dx, ,Re, xi) Aa R(x, x) AA R(x, €')) 
SA=17 6,1 120} Ul dlc/ulle’]}, A 中 的 所 有 公式 都 是 语句 且 A 是 不 可 满足 的 ， 因 
为 A 中 所 有 语句 的 “ 合 取 ”说 的 是 不 存在 长 度 为 0O、1、… 的 从 标识 为 c 的 结 点 到 标识 为 “的 
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结 点 的 路 径 ， 但 存在 一 条 从 “到 “的 有 限 路 径 ， 因 为 $[c/uj[e'/w] 为 真 。 
然而 ，A 的 每 个 有 限 子 集 都 是 可 满足 的 ， 因 为 存在 任意 有 限 长 的 路 径 。 因 此 ， 由 紧 致 性 
定理 ，A 本 身 是 可 满足 的 。 这 是 一 个 矛盾 。 因 此 ， 不 存在 这 样 的 公式 $o 口 


2.6.1 存在 式 二 阶 逻辑 e 


如 果 谓 词 逻辑 不 能 表示 图 中 的 可 达 性 ， 那 么 怎样 才能 表达 呢 ? 以 什么 为 代价 昵 ? 我 们 寻 
求 谓词 逻辑 的 一 种 扩展 ， 能 说 明 这 个 重要 性 质 ， 而 不 是 从 零 开 始 发 明 一 套 全 新 的 语法 、 语 义 
和 证 明 论 。 要 实现 这 一 点 ， 可 以 通过 将 量词 不 仅 应 用 于 变量 ， 而 且 应 用 于 谓词 符 导 。 对 有 
n=l 个 参量 的 谓词 符号 已 ， 考 虑 形 如 

3Pb (2-11) 

的 公式 ， 其 中 $ 是 出 现 谓词 的 一 个 谓词 惧 辑 公式 。 这 种 形式 的 公式 就 是 存在 式 二 阶 逻 辑 
(existential second-order logic) 的 公式 。 一 个 二 元 的 例子 是 : 

JP Vx Vy V2(C, 40,406, AC) (2-12) 
其 中 C, ERATIS, 

C, = P(x,x) 

C, = P(x,y) ^P(y,z) — P(x,z) 

C, = P(u,v) 一 L 

C, = R( x,y) > P(x,y) 
如 果 把 丸和 尸 看 成 状态 集 上 的 两 个 迁移 关系 ， 那 么 C, 的 含义 是 任意 R 边 都 是 P 边 ，C, 说 明 
是 是 自 反 的 ，C, 指出 P 是 传递 的 ， 而 C, 保证 了 不 存在 从 与 w 相伴 的 结 点 到 与 ov 相伴 的 结 
RA PRE. 

给 定 一 个 模型 A{ ， 解 释 式 (2-11) 中 由 的 所 有 函数 与 亩 词 符号 ， 除 已 以 外 ， 令 N, 是 同一 
个 模型 ， 增 加 了 P 的 一 个 解释 TCA x4。 即 PMT =7T。 则 对 任何 查询 表 1， IP 的 语义 为 

MFE:AP6 当 且 仪 当 对 菜 个 TCAx4,， M, Fi (2-13) 

例 2.27 KAP 是 公式 (2-12) ， 考 虑 例 2. 23 和 图 2-5 的 模型 M。 设 ! 是 一 个 查询 表 ， 
WE Lu) =s, Mv) =s, ME: IP 成 立 吗 ? Wik, ZEP 的 解释 TOA XA, 使 得 MjF， 
VaVyWx(C, ^C, ^C, °C,) Ri. M: 需要 找 一 个 自 反 和 传递 关系 了 C4 x4， 它 包含 
R ， 但 不 包含 (%，s% ) 。 试 验证 了 至 1(s，s) AXA s As) U1 (s,, s) l 就 是 这 样 的 了 7。 
KiE, ME: 3 Po 成 立 。 

在 练习 中 要 求 你 证 明 公式 (2-12) 在 有 向 图 中 成 立 ， 当 且 仅 当 该 图 中 不 存在 从 结 点 (u) 
到 结 点 1(v) 的 一 条 有 限 路 径 。 因 此 ， 这 个 公式 说 明了 不 可 达 性 。 


2.6.2 RRMA 
当然 ， 我 们 可 以 否定 式 (2-12) ， 并 由 熟知 的 德 . 摩根 定律 得 到 
VP 4xdyd2(7€, v7 C, v7 Cv-C,) (2-14) 


IX FE — S&H X= BPE HF (universal second-order logic ) 的 公式 。 该 公式 表达 了 可 达 性 。 
定理 2.28 设 M =(4，R”) 是 任意 模型 ， 则 公式 (2-14) AMPSMRIF RS, HB 





O 意思 是 : 在 所 有 原子 子 公 式 被 命题 原子 所 替代 后 的 种 恩 子 句 。 
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RHEMP, Allu) HA, lo) XR TKK, 

证 明 

1. 首先 ， 假设 对 P 的 所 有 解释 7T，MzFF13x3y3z( 一 Ct VC, VC, Vac) RE. 那么 , 对 R” 的 
自 反 、 传 递 闭 包 解释 也 成 立 。 但 对 这 个 7?， 仅 当 MrEF1 一 C3 成立, 则 MyF13x3y3z( 一 Ci v7, v7 
Cy Vv C,) 必 成 立 ， 而 其 他 子 句 一 C,(iz#3) 都 是 假 的 。 但 这 意味 着 Mr 上 ,PC(w，5) VARE MA, (Uu), 
1(v)) sz 成 立 ， 即 存在 从 (u) Bl Lv) 的 有 限 路 径 。 

2. 反之 , RHEMP, Miu) HR, Uo) BRAK, 

。 对 己 的 任何 非 自 反 、 非 传递 或 不 包含 R” 的 解释 7， 关 系 人 trF, 3x3y3z( 一 Cvnm C, yaC vo C) 

成 立 ， 因 为 了 使 子 旬 一 C1， 一 C, 或 一 C, 成 立 。 

。 另 一 种 可 能 性 是 : 了 是 包含 R KHARE, ERAR, UTAS R” 的 自 反 传递 闭 包 。 由 假设 ， 

(Ku), lo) ) 在 该 闭 包 中 。 因 此 ， 在 查询 表 ! 下 的 解释 7 中 ， 一 C, 为 真 ， 故 ，M sr 上 1x3y3z 

(一 CVDmC VY 一 CY 一 CG,) 成 立 。 

总 之 ， 对 所 有 解释 TCA x4，MzF13jx3y3z( 一 Cl yn Cv 一 C; va C,) RY. Ale, ME, 

VP3x3y3z(~m C, vnc, yaC, vo C) ÈY. 0 

证 明 可 达 性 也 能 用 存在 式 二 阶 逻 辑 表 达 超 出 了 本 书 的 范围 ， 但 它 确 实 是 成 立 的 。 确 定 存 
在 式 二 阶 逻 辑 在 否定 下 是 否 封闭 ( 即 对 所 有 这 样 的 公式 3 Pb$， 是 否 有 存在 式 二 阶 逻辑 的 公式 
3 Qy ， 使 得 后 者 语义 等 价 于 前 者 的 否定 ) 是 一 个 重要 的 未 解决 问题 。 

如 果 人 允许 同一 个 公式 中 将 存在 和 全 称 量词 都 用 于 谓词 符号 ， 就 会 得 到 一 种 功能 完整 的 二 
MEH, pon: 

APV QC V«V¥(Q(x,y) > O(y,%)) > VuV0(Q(u,v) > P(u,v))) (2-15) 
APVOCV«Vy(Q(x, y)—>Q0ly, x%)) 一 VuVv(0(u, v)>P(u, v))) Rar, SAM YE 
BRT, MAU, ACM) EV eV (Q(x, y) Q(x, x))— VuVo(O(u, v)—>P(u, 
v))o EAE ME P ARR 。 

如 果 对 关系 的 关系 取 量 词 ， 就 得 到 三 阶 逻 辑 ， 等 等 。 高 阶 逻辑 设计 要 求 我 们 格外 谨慎 。 
像 完备 性 和 紧 致 性 这 样 的 典型 结果 可 能 很 快 就 不 再 成 立 。 更 糟糕 的 是 ， 一 个 朴素 的 高 阶 逻辑 
在 元 逻辑 级 (meta-level) 上 可 能 是 不 相 容 的 。 相 关 的 问题 在 朴素 集合 论 中 曾经 出 现 过 ， 例 如 ， 
试图 将 “集合 ”4 定义 为 那些 不 包含 本 身 作为 一 个 元 素 的 集合 为 元 素 的 元 : 

A={X1X gX! . (2-16) 

本 书 我 们 不 研究 高 阶 逻辑 ， 但 要 强调 ， 许 多 定理 证 明 器 或 演绎 框架 依赖 于 高 阶 逻 辑 的 
框架 。 


2.7 软件 的 微观 模型 


到 目前 为 止 ， 我 们 发 展 的 两 个 中 心 概念 是 : 

。 模型 检测 (model checking): 给 定 谓词 馆 辑 的 一 个 公式 p 和 一 个 相 匹 配 的 模型 /M ， 确 定 ME 由 是 否 成 立 ; 

。 语义 推导 (semantic entailment) : 给 定 谓词 逻辑 的 一 个 公式 集 T， 确 定 TF 由 是 否 有 效 ? 

在 软件 的 建 模 和 推理 中 如 何 应 用 这 些 概 念 ? 对 语义 推导 的 情形 ，F 应 该 包含 对 一 项 软件 
设计 所 提出 的 所 有 需求 ， 而 o 可 以 满足 需求 了 的 任何 实现 都 成 立 的 某 个 性 质 。 这 样 ， 语 义 
推导 与 软件 规范 和 有 效 性 很 好 地 匹配 。 不 过 一 般 情况 下 ， 这 是 不 可 判定 的 。 由 于 模型 检测 是 
可 判定 的 ， 为 什么 不 把 所 有 需求 都 放 入 模型 M 中， 然后 检测 MF 由 WE? 这 种 处 理 的 困难 之 
处 在 于 : 通过 将 问题 推 给 一 个 特殊 的 模型 M ， 将 许多 并 非 需求 组 成 部 分 的 细节 也 推托 了 。 
典型 情况 是 ， 该 模型 会 实例 化 很 多 与 需求 无 关 的 参量 。 从 这 个 观点 看 ， 语 义 推导 更 好 些 ， 因 
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为 它 允 许 对 不 同 的 参数 值 使 用 不 同 的 模型 。 
我 们 寻求 一 种 能 将 语义 推导 和 模型 检测 的 优势 结合 在 一 起 的 方法 。 从 需求 中 抽取 数量 相 
对 较 少 的 小 模型 ， 检 测 它们 满足 所 要 证 明 的 性 质 6%。 这 种 满足 检测 具有 模型 检测 的 易 处 理 
性 ， 而 在 一 组 (相对 小 的 ) 模 型 的 范围 进行 允许 我 们 考虑 在 需求 中 未 设置 的 参量 的 不 同 值 。 
这 种 处 理 在 一 种 叫做 Alloy(3 A D. Jackson) 的 工具 中 得 到 了 实现 。 所 考虑 的 模型 就 是 
他 所 说 的 软件 微 模 型 (micromodels , 


2.7.1 状态 机 


重新 考察 例 2. 15 来 解释 这 种 方法 。 它 的 模型 是 含有 大 = {计生 = IR, FERAH 
(state machines) ， 其 中 i 是 常量 ,FF 是 一 元 谓词 符号 ，R 是 二 元 谓词 符号 。 一 个 (具体 ) 模 型 
人 包含 具体 元 素 的 集合 4 一 一 它 可 以 是 计算 机 程序 状态 的 集合 。 解 释 i* eA4，R”eA*A4 和 
F” CA 分别 理解 为 一 个 指定 的 初始 状态 、 状态 迁移 关系 和 一 个 终止 (可 接受 ) 状 态 集 。 模 型 
MM 是 具体 的 ， 因 为 没有 什么 未 明确 的 内 容 ， 故 所 有 的 检测 ME p 都 有 确定 的 答案 : MY, 
或 者 不 成 立 。 

在 实践 中 ， 我 们 并 不 能 事先 知道 一 个 软件 系统 的 所 有 功能 或 其 他 和 需求， 它们 很 可 能 在 软 
件 系统 的 生存 期 中 变化 。 例 如 ， 我 们 可 能 不 知道 究竟 有 多 少 个 状态 ; 在 实现 中 有 些 迁 移 是 强 
制 的 ， 有 些 迁 移 是 可 选 的 。 从 概念 上 ， 我 们 寻求 某 个 软件 系统 的 所 有 适应 实现 M,(1e7) 的 
一 个 描述 M。 给 定 某 个 相 匹配 的 性 质 y， 则 我 们 想 知 道 ， 

© (论断 检测 (assertion checking) ) 在 所 有 的 实现 His MM 中 ,yy 是否 成 立 ; 或 者 

© (EHA (consistency checking) ) 在 某 个 实现 M,e M 中 ，y 是 否 成 立 。 

例如 , 设 M 是 上 述 状 态 机 的 所 有 具体 模型 的 集合 。 一 个 可 能 的 论断 检测 yw 是:“ 终 止 状 
态 决 不 是 初始 状态 ”"。 相 容 性 检测 y 的 一 个 例子 是 : “存在 一 个 状态 机 ， 它 包含 非 终止 但 死 
锁 的 状态 ”。 ， 

如 前 面 注意 到 的 ， 若 人 是 所 有 状态 机 的 集合 ， 则 检测 性 质 将 是 不 可 判定 的 风险 ， 至 少 
是 难以 处 理 的 。 若 4 仅 由 一 个 模型 构成 ， 则 检测 性 质 将 是 可 决定 的 ; 但 一 个 单独 的 模型 是 
不 够 充分 的 。 这 使 我 们 实例 化 一 些 不 属于 状态 机 需求 部 分 的 参量 ， 诸 如 其 规模 和 细节 构造 。 
一 个 更 好 的 想法 是 对 模型 的 规模 确定 一 个 有 限界 ， 并 检测 满足 需求 的 这 种 规模 的 所 有 模型 是 
否 也 满足 所 考虑 的 性 质 。 

。 如 果 得 到 肯定 的 答案 , 我 们 多 少 会 相信 该 性 质 在 所 有 模型 中 都 成 立 。 此 时 ， 答案 不 是 结论 性 的 ， 因 

为 可 能 存在 不 具有 该 性 质 的 更 大 的 模型 ， 但 无 论 如 何 ， 肯定 答案 让 我 们 有 了 一 些 信心 。 
。 如 果 得 到 和 否定 的 答案 ， 则 我 们 找到 了 At 中 与 性 质 冲突 的 一 个 模型 。 此 时 ， 我 们 有 结论 性 的 答案 ， 并 
可 以 考察 问题 中 的 模型 。 

D. Jackson 的 小 范围 假设 (small scope hypothesis ) 说 明 ， 否定 答案 趋 于 已 经 出 现在 小 模 

型 ， 这 增加 了 我 们 得 到 肯定 答案 的 信心 。 这 里 用 Alloy 写 的 关于 状态 机 的 需求 AM : 


sig State {} 


sig StateMachine { 
A : set State, 
i: A, 

F : set A, 

R:A->>A 


} 
这 个 模型 说 明 两 个 基调 (signatures) 。 基 调 State 是 简单 的 ， 没 有 内 部 结构 ， 记 做 {1} 。 尽 管 真 
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正 系统 的 状态 很 可 能 有 内 部 结构 ， 但 Alloy 声明 将 其 抽象 了 。 第 二 个 基调 StateMachine 有 内 
部 复合 结构 ， 即 每 个 状态 机 有 一 个 状态 集 A、 来 自 A 的 初始 状态 i 和 来 自 A 的 终止 状态 集合 
F， 以 及 一 个 类 型 为 A>A 的 迁移 关系 R。 若 将 -> RAE ILA x ， 我 们 发 现 这 样 的 内 部 结构 
不 过 是 例 2.15 所 需要 的 结构 信息 。 状 态 机 的 具体 模型 是 基调 StateMachine 的 实例 。 将 基调 视 
为 集合 是 有 用 的 ， 集 合 的 元 素 是 该 基调 的 实例 。 元 素 具有 其 所 在 的 基调 所 声明 的 所 有 结构 。 

给 定 这 些 基调 ,可 以 对 断言 进行 编码 和 检测 : 


assert FinalNotInitial { 
all M : StateMachine | no M.i & M.F 
} check FinalNotIntial for 3 but 1 StateMachine 


这 段 代 码 声 明了 一 个 名 为 FinalNotInitial 的 断言 其 主体 说 明 : 对 类 型 为 
Statemachine 的 所 有 模型 M,， 性质 no M. i & M.F 是 真 的 。 将 & 理解 为 集合 的 交 ， 且 no 
S(S 不 存在 ) 理 解 为 “集合 S 为 空 ”。Alloy 将 元 素 a 和 单 点 集 {aj} 等 同 ， 故 这 个 集合 交 有 和 良好 
类 型 。 关 系 运算 符 ， 使 我 们 可 以 访问 状态 机 的 内 部 成 分 ，M. i 是 M 的 初始 状态 , 而 M.F 是 
其 终止 状态 集 ， 等 等 。 因 此 ， 表 达 式 no M. i & M.F 叙述 的 是 :“M 的 初始 状态 不 会 是 MM 的 
终止 状态 。 最 后 ，check 指令 通知 Alloy 分 析 器 尝试 寻求 断言 FinalNotInitial 的 一 个 
反例 ， 对 每 个 基调 它 最 多 有 三 个 元 素 ， 除 了 最 多 有 一 个 元 素 的 StateMachine。 

Alloy 断言 检测 的 结果 如 图 2-7 所 示 。 这 种 可 视 化 使 用 了 我 们 习惯 的 i 和 F 分 别 表示 初 
始 状 态 和 终止 状 态 。 此 例 中 ,迁移 关系 显示 为 标记 图 ， 而 且 只 有 一 个 迁移 关系 (从 State_ 
0 回 到 State_ 0)。 请 验证 : 这 是 断言 FinalNotInitial 在 指定 区 域 范围 内 的 一 个 反例 。 
Alloy 的 GUI 允许 寻求 附加 的 证 据 ( 这 里 就 是 反例 )， 如 果 它 们 存在 的 话 。 

类 似 地 ， 我 们 可 以 检测 状态 机 与 模型 的 相 容 性 质 。Alloy 使 用 关键 词 fun 表示 相 容 性 检 
测 ( 参 见 图 2-6) 。 例 如 : 


fun AGuidedSimulation(M : StateMachine, s : M.A) { 





no s. (M.R) 
not s in M.F 
#M.A = 3 
} run AGiudedSimulation for 3 but 1 StateMachine 
module AboutStateMachines 
sig State {} -- simple states 
Sig StateMachine { -- composite state machines 
A : set State, -- set of states of a state machine 
i: A, -- initial state of a state machine 
F : set A, -- set of final states of a state machine 
R:A->A -- transition relation of a state machine 
} 


-- Claim that final states are never initial: false. 
assert FinalNotInitial { 

all M : StateMachine | no M.i & M.F 
} check FinalNotInitial for 3 but 1 StateMachine 


-- Is there a three-state machine with a non-final deadlock? True. 
fun AGuidedSimulation(M : StateMachine, s : M.A) { 

no s.(M.R) 

not s in M.F 

# M.A=3 
} run AGuidedSimulation for 3 but 1 StateMachine 











图 2-6 对 一 个 断言 和 一 个 相 容 性 检测 的 状态 机 模型 的 完整 的 Alloy 模块 。 
间隔 符 “--” 为 同一 行 的 内 容 作 注释 
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PA 2-7 Alloy 分 析 器 在 指定 的 范围 内 寻找 状态 机 模型 (只 有 一 个 迁移 ) ， 使 得 断言 
FinalNotInitial WR: 初始 状态 State_ 2 也 是 终止 状态 











这 个 相 容 性 检测 命名 为 AGuidedsimulation， 其 后 跟随 参量 /类 型 对 的 有 限 序 表 。 第 
一 个 参量 是 类 型 为 StateMachine 的 M， 第 二 个 是 类 型 为 M.A Ms, 即 s 是 M 的 一 个 状 
态 。 相 容 性 检测 的 主体 是 约束 (此 处 为 三 个 ， 这 些 约 束 是 隐 含 相连 的 ) 的 有 限 表 。 在 这 种 情 
形 下 ， 要 找到 一 个 具有 参量 M 和 s 的 实例 模型 ， 使 得 s 是 M 的 非 终止 状态 ， 第 二 个 约束 not 
s in M. F 加 上 类 型 信息 s: MA; 而 且 不 存在 从 s 出 发 的 迁移 ， 第 一 个 约束 no s. (MR), 

后 者 需要 进一步 的 解释 。 关 键 词 no 表示 “不 存在 ”; 这 里 将 其 应 用 于 集合 s. (MR), 
表示 s. (M. R) 中 没有 元 素 。 因 为 M. R 是 M 的 迁移 关系 ， 需 要 了 解 s. (MR) 如 何 构造 一 个 集 
合 。 好 了 ，s 是 M.A 的 一 个 元 素 ， 且 M R 的 类 型 为 M. A -> M. A。 因 此， 我 们 可 以 形成 所 有 
TR s 的 集合 ， 使 得 存在 从 s 到 s' 的 M R 迁移 ; 这 就 是 集合 s. (M. R)。 第 三 个 约束 说 集合 
M 恰好 有 三 个 状态 : 在 Alloy F, #S = k 声明 集合 s 中 恰好 有 k 个 元 素 。 

run 指令 指示 对 至 多 一 个 状态 机 和 至 多 三 个 状态 ， 检 测 AGuidedSimulation HHA 
性 ; Alloy 的 约束 分 析 器 返回 图 2-8 所 示 的 证 据 ( 此 处 是 一 个 例子 ) 。 请 验证 这 个 证 据 满足 相 
容 性 检测 的 所 有 约束 ， 而 且 在 指定 的 范围 内 。 
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图 2-8 Aloy 的 分 析 者 在 指定 区 域内 寻找 一 个 状态 机 模型 ， 使 得 相 容 性 检测 
AGuideSimulation ZAM: 存在 一 个 非 终止 死 锁 状 态 ， 这 里 指 state_2 


这 两 个 检测 的 状态 机 的 完全 模型 描述 在 图 2-6 中 。 关键 词 加 名 字 Module 
AboutStateMachines AA T DEEE A REM, 这 有 力 地 建议 Alloy 是 一 个 模 
块 化 规范 和 分 析 平 台 。 


2.7.2 Alma 重 观 


回顾 例 2. 19 的 模型 ， 有 三 个 元 素 ， 而 且 不 满足 公式 (2-8) 。 现在 我 们 可 以 用 Alloy 写 一 
个 模块 ， 用 来 检测 是 否 所 有 更 小 的 模型 都 必须 满足 式 (2-8) 。 代 码 在 图 2-9 rales 它 命 名 
了 模块 AboutAlma， 并 定义 了 一 个 类 型 为 person 的 简单 基调 。 然后 ， 它 声明 了 基调 
SoapOpera( IEE), ， 有 一 个 cast (主演 ) 一 一 类 型 为 person HHA, 指定 的 cast 成 
员 alma， 以 及 类 型 为 cast -> cast 的 关系 loves。 我 们 在 至 多 有 两 个 人 和 至 多 一 BB AG 
剧 的 范围 内 检测 断言 oftLovers。 该 断言 的 主体 是 式 (2-8) 的 类 型 化 版 本 ， 因此 值得 更 仔细 
地 考察 ; 
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module AboutAlma 
sig Person {} 


sig SoapOpera { 
cast : set Person, 
alma : cast, 
loves : cast -> cast 


} 


assert OfLovers { 
all S : SoapOpera | 
with S { 
all x, y : cast | 
alma in x.loves && x in y.loves => not alma in y.loves 
} 
} 
check OfLovers for 2 but 1 Soap0pera 








图 2-9 在 这 个 模块 中 ，OfLoves 的 分 析 检 测 是 否 存 在 一 个 <2 个 人 和 <1 
部 肥皂 剧 的 模型 ， 使 得 式 (2-8) 的 询问 是 假 的 


1. 形 为 allx:T 1 的 表达 式 对 类 型 为 了 的 所 有 实例 x， 公 式 F 为 真 。 故 断言 : 对 所 有 肥皂 剧 s, 
with S 1…|1 是 真 的 。 i 
2. 表达 式 with s {…| 是 一 种 方便 的 记号 ， 人 允许 在 花 插 号 内 ， 用 loves 和 cast 分 别 代替 必须 的 


S. loves 和 S. cast, 

3. RER- SORRE: 对 s 的 主演 中 所 有 的 x My, Hx Balma, y Rx, 那么 , 符号 => RRA: 
y RE alma, 

Alloy 的 分 析 寻 找 这 个 断言 的 一 个 反例 ， 如 图 2-10 所 示 。 它 是 一 个 反例 ， 因 为 alma 是 
她 自己 的 情人 ， 因 此 ， 也 是 她 的 情人 的 情人 之 一 。 表 面 上 看 ， 我 们 并 没有 详细 说 明 模 型 :我 
们 隐 舍 地 做 了 特定 领域 的 假设 : 自爱 产生 嫉妒 和 偏执 的 可 怜 迹 象 ， 但 在 我 们 的 Alloy 模块 中 ， 
并 没有 排除 自爱 。 为 了 弥补 这 个 缺陷 ， 可 以 给 模块 加 上 一 个 fact (事实 )， 事实 有 和 名字， 而 
且 限 制 可 能 的 模型 集合 : 只 对 满足 该 模块 的 所 有 事实 的 具体 模型 进行 断言 和 相 容 性 检测 。 将 
声明 : 


loves | Person 0 





图 2-10 Alloy 分 析 器 寻找 公式 (2-8) 的 一 个 反例 : Alma 是 仅 有 的 主演 成 员 ， 而 且 爱 她 自己 


fact NoSelfLove { 


all S : SoapOpera, p : S.cast | not p in p.(S.loves) 
} 


加 到 模块 About Alma ， 强 制 任何 肥皂 剧 的 主演 成 员 都 不 能 爱 自己 。 重 新 检测 该 断言 ， 分 析 
器 告诉 我 们 找 不 到 解 。 这 意味 着 例 2. 19 的 模型 在 领域 假设 出 现 的 前 提 下 是 最 小 的 。 若 保留 
该 事实 ,但 将 check 指令 中 的 2 改 为 3， 就 得 到 一 个 反例 ， 描 述 在 图 2-11 中 。 你 能 看 出 它 
为 什么 是 一 个 反例 吗 ? 
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FA 2-11 Aloy 分 析 器 寻找 公式 (2-8) 的 一 个 反例 ， 满 足 有 3 个 主演 的 NoSelfLove HR. 
双向 箭头 表示 Person_ 1 爱 Person_ 2， 反 之 亦 然 


2.7.3 软件 的 微 模 型 


到 目前 为 止 ， 我 们 使 用 Alloy 4 R—BiE BRM, BEA PPRARRANEK 
些 特定 约束 。 现 在 将 Aloy 及 其 约束 分 析 器 应 用 于 一 个 更 严肃 的 任务 : 建 模 软件 系统 。 期 望 
系统 模型 所 提供 的 益处 有 : 

1. 它 形式 地 把 握 静 态 和 动态 的 系统 结构 与 性 能 ，; 

. 它 可 以 验证 约束 设计 空间 的 相 容 性 ; 
. 它 是 可 执行 的 ， 因 此 ， 人 允许 通过 一 个 潜在 的 非常 复杂 的 设计 空间 指导 模拟 ; 
4. 它 可 以 增强 我 们 关于 所 有 适当 实现 的 静态 和 动态 方面 的 论断 正确 性 的 信心 。 

此 外 ,伴随 软件 产品 的 形式 模型 可 视 为 一 种 可 靠 性 合约 (reliability contract) ， 承 诺 该 软 
件 实现 模型 的 结构 和 性 能 ， 并 且 期 望 满足 所 有 经 认证 的 断言 。( 然 而 ， 对 极端 过 分 指定 的 模 
型 ， 这 也 许 不 是 非常 有 用 。) 

我 们 将 建 模 一 种 软件 包 依 赖 系 统 (software package dependency system ) 。 当 安装 或 升级 软 
件 包 时 使 用 这 种 系统 。 系 统 检测 看 以 库 或 其 他 包 形 式 的 准备 是 否 满足 。 软 件 包 依赖 系统 的 需 
求 不 是 直接 的 。 如 大 多 数 计算 机 用 户 所 知道 的 ， 升 级 过 程 可 能 出 现 多 种 错误 。 例 如 ， 升 级 软 
件 包 可 能 涉及 替代 新 版 本 的 共享 库 。 但 其 他 依赖 于 旧版 本 共享 库 的 软件 包 可 能 会 中 止 运行 。 

软件 包 依赖 系统 用 于 各 种 计算 机 系统 中 ， 如 Red Hat Linux, . NET' 的 Global Assembly 
Cache 和 其 他 。 用 户 经 常 好 奇 在 依赖 系统 内 如 何 使 技术 问题 得 到 解决 。 就 现 有 知识 而 言 ， 任 
何 特殊 的 依赖 系统 都 不 存在 一 个 公共 可 用 的 形式 和 可 执行 的 模型 ， 使 得 应 用 软件 程序 员 在 面 
临 这 类 非 平凡 的 内 部 技术 问题 时 都 可 以 求助 。 

在 我 们 的 模型 中 ， 应 用 建立 在 组 件 之 上 。 组 件 为 其 他 组 件 提供 服务 。 服 务 可 以 是 很 多 事 
情 。 典 型 地 ， 服 务 可 以 是 一 个 方法 (程序 代码 的 模块 片段 ) ， 一 个 字段 项 ， 或 者 一 个 类 型 ， 
例如 ， 面 向 对 象 程序 设计 语言 中 一 个 类 的 类 型 。 典 型 地 ， 组 件 要 求 输入 来 自 其 他 组 件 的 服 
务 。 从 技术 上 讲 ， 这 种 输入 服务 解决 了 组 件 内 所 有 未 决 的 参考 ， 使 组 件 可 链接 。 组 件 也 有 名 
字 ， 也 可 以 有 一 个 特殊 服务 ， 称 为 “main”。 
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在 Alloy 中 ， 将 组 件 建 模 为 一 个 基调 : 


sig Component { 


name: Name, -- name of the component 

main: option Service, -- component may have a ‘main’ service 
export: set Service, -~~ services the component exports 
import: set Service, -- services the component imports 
version: Number -~ version number of the component 


}{ no import & export } 

对 建 模 目的 而 言 ， 基 调 service 和 Name 不 需要 任何 复合 结构 。 基 调 Number 以 后 会 得 到 
一 个 序 。 组 件 是 Component 的 一 个 实例 ， 因 此 有 一 个 name， 它 提供 给 其 他 组 件 服 务 的 集 
合 export ， 以 及 它 所 需要 的 来 自 其 他 组 件 输入 服务 的 集合 import。 最 后 (但 非 最 不 重要 
的 ) ， 一 个 组 件 有 一 个 版 本 号 version。 注 意 上 面 的 修饰 词 set 和 option 的 作用 。 

声明 i : set S 意味 着 i 是 集合 S 的 一 个 子 集 ; 而 声明 i: option s 则 表示 i 是 集 
合 S 的 至 多 有 一 个 元 素 的 子 集 。 于 是 ，option 使 我 们 可 以 建 模 一 个 元 素 ， 它 可 以 出 现 ( 非 
空 单 点 集 ) ， 也 可 以 不 出 现 ( 空 集 合 ) 。 这 确实 是 一 种 非常 有 用 的 能 力 。 最 后 ,声明 1 : sA 
述 了 i 是 s 的 恰好 包含 一 个 元 素 的 子 集 ; 这 实际 上 指定 了 一 个 类 型 为 s 的 数量 或 元 素 ， 因 
为 Alloy 将 元 素 a GRA la} 等同 。 

可 以 通过 将 | Cc | 加 入 基调 声明 ， 对 带 有 Cc 的 基调 的 所 有 实例 进行 约束 。 对 基调 
Component 这 样 做 ， 其 中 c 是 约束 no import & export， 表 明 ， 在 所 有 组 件 中 ， 
import 与 export 的 交 (&) 是 空 的 (no)。 

软件 包 依赖 系统 (PDS) 由 集合 components 以 及 我 们 后 面 要 说 明 的 其 他 结构 组 成 ， 


sig PDS { 
components : set Component 


}{ components. import in components.export } 
PDS 中 主要 关心 的 是 其 组 件 集合 应 该 是 内 聚 的 (coherent) : 在 所 有 时 刻 ， 所 有 其 组 件 的 所 有 
输入 可 以 在 该 PDS 内 服务 。 对 PDS 的 所 有 实例 ， 通 过 将 约束 components. import in 
components. export 加 和 人 其 基调 ， 这 种 需求 得 到 了 加 强 。 这 里 ，components 是 组 件 集 
&, m Alloy 将 component. import 的 意义 定义 为 所 有 集合 c. import WA, Epc 是 
components 的 一 个 元 素 。 因 此 ， 需 求 叙述 : 对 components 中 所 有 的 c, c 所 必须 的 所 
有 服务 也 由 components 中 的 某 个 组 件 提供 。 这 恰好 是 我 们 所 需要 的 PDS 的 组 件 集合 的 完 
整 性 约束 。 注 意 到 这 个 需求 并 没有 指定 哪个 组 件 提供 哪 种 服务 ; 对 实现 自由 而 言 ， 这 是 一 个 
难以 接受 的 强制 条 件 。 

给 定 这 种 完整 性 约束 ， 我 们 可 以 建 模 一 个 PDS 中 组 件 的 安装 (加 入 ) ER, EERE 
PDS 中 的 其 余 结 构 。 这 是 可 能 的 ， 因 为 在 这 些 操作 的 语 境 中 ,可 以 将 PDS 抽象 为 其 
components 的 集合 。 我 们 用 名 为 AddComponent 和 三 个 参数 的 一 个 参数 化 fun 语句 建 模 


将 一 个 组 件 加 入 到 一 个 PDS。 
fun AddComponent(P, P’: PDS, c: Component) { 
not c in P.components 
P’.components = P.components + c 
} run AddComponent for 3 


此 处 P 的 意图 是 先 于 该 操作 执行 的 PDS，P' 在 执行 后 建 模 PDS， 而 c 则 建 模 待 添加 的 组 
件 。 这 个 意图 将 参数 约束 Addcomponent 解释 为 导致 从 一 个 “状态 ”到 另 一 个 “状态 ” (通过 从 
PDS P 中 除去 c 所 得 到 ) 的 操作 。Adacomponent 的 主体 叙述 了 两 个 约束 ， 隐 含 同 时 满足 。 于 





aR i ig # 99 





是 ， 这 个 操作 仅 适 用 于 组 件 c 不 在 PDS 组 件 集合 中 (not c in P. components; 前 置 条 件 
的 一 个 例子 )， 如 果 PDS 仅 添 加 了 c 而 不 丢失 任何 其 他 组 件 (P'.components = 
P. components +c; 后 置 条 件 的 一 个 例子 ) 的 情形 。 

为 了 体会 设计 软件 系统 的 复杂 性 和 苦恼 ， 考 虑 我 们 的 感觉 或 隐 性 决策 ， 强 制 PDS 的 所 
有 实例 都 有 内 聚 的 组 件 集合 。 这 昕 起 来 是 个 非常 好 的 主意 ， 如 果 一 个 “真实 ”的 、 有 缺陷 的 
PDS 进入 非 内 聚 的 状态 该 怎么 办 ? 我 们 会 阻止 加 入 可 以 恢复 其 内 聚 性 的 组 件 ! Bub, 我们 的 
模型 并 不 包括 诸如 修复 问题 ， 事 实 上 ， 这 是 软件 管理 的 一 个 重要 方面 。 

组 件 的 删除 规范 与 Adadacomponent 非常 类 似 ; 


fun RemoveComponent(P, P’: PDS, c: Component) { 
c in P.components 
P’.components = P.components - c 

} run RemoveComponent for 3 


区 别 仅 在 于 : 现在 前 置 条 件 要 求 c 在 删除 前 的 PDS 的 组 件 集合 中 ; 而 后 置 条 件 说 明 PDS 失去 了 
组 件 c， 但 没有 添加 或 失去 任何 其 他 组 件 。 表 达 式 s -了 记 那 些 恰好 在 s H, ARET 中 的 “元 素 ”。 

接 下 来 要 完成 PDS 基调 。 需 要 三 个 附加 要 求 。 

1. 关系 schedule 指派 给 每 个 PDS 组 件 及 其 任何 输入 服务 ， 该 PDS 中 提供 该 项 服务 的 一 个 组 件 。 

2. 由 schedule 导出， 得 到 PDS 组 件 之 间 的 关系 requires， 它 表达 了 这 些 组 件 之 间 基 于 schedule 
的 依赖 关系 。 

3. 最 后 ， 对 PDS 所 有 实例 ， 加 入 保证 schedule 和 requires 的 完整 性 和 正确 性 处 理 的 约束 。 

PDS 的 完整 基调 是 : 


sig PDS { 
components : set Component, 
schedule : components -> Service ->? components, 
requires : components -> components 

} 


对 任何 P : PDS, 表达 式 P. schedule 表示 类 型 为 P. components -> Service ->? 
P. components 的 关系 。? 是 一 个 重 数 约束 ， 表 示 PDS 的 每 个 组 件 和 每 个 服务 至 多 与 一 个 组 件 
相关 。 这 将 保证 调度 程序 是 确定 的 ， 而 且 不 调度 任何 事情 一 一 例如 ， 当 第 一 个 参量 中 的 组 件 
不 需要 服务 时 。 在 Aloy 中 ， 还 有 重 数 标识 ? 表示 “恰好 一 个 ”， 以 及 + 表示 “一 个 或 更 多 ”。 
不 出 现 标识 表示 “ 零 个 或 更 多 ”。 例 如 ，requires 声明 使 用 了 默认 的 含义 。 

如 图 2-12 所 示 ， 使 用 fact 语句 进一步 约束 所 有 PDS 的 结构 和 性 能 。 名 为 SoundapDss 
的 事实 对 PDS 的 所 有 实例 的 约 东 进行 量词 化 (all P: PDS 1…)， 并 使 用 with Pf} $3 
免 形 如 P. e 的 导航 表达 式 的 使 用 。 该 事实 的 主体 列 出 两 个 约束 -了 和 --2 ， 


fact SoundPDSs { 





-= 


all P : PDS | 
with P { 
all c : components, s : Service | --1 


let c’ = c.schedule[s] { 
(some c’ iff s in c.import) && (some c’ => s in c’ export) 
} 
all c : components | c.requires = c.schedule[Service] --2 


} 











R 2-12 一 个 约束 了 所 有 PDS 的 状态 和 调度 的 事实 
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1 在 形 如 1let x = E11 的 let 表达 式 中 叙述 了 两 个 约束 。 这 样 一 个 1et 表达 式 声明 
x 在 1……| 中 的 所 有 自由 出 现 都 等 于 E。 注 意 [ ] 是 点 运算 符 . 的 具有 较 低 优先 级 的 版 本 ， 故 


s. (c. schedule) # c. schedule[s | 的 语法 形式 。 
© 在 第 一 个 约束 中 ， 组件 c 和 一 个 服务 s 确定 了 另 一 个 组 件 c' 的 安排 (some c 为 真 当 且 仅 当 集 合 c 非 


空 ) 当 且 仅 当 s 实际 在 c 的 输入 集合 中 。 只 安排 所 必需 的 服务 ! 
。 在 第 二 个 约束 中 ， 若 c 安 排 为 c 提供 服务 s， 则 s 在 c 的 输出 集中 ， 只 能 调度 能 提供 所 安排 服务 的 组 件 ! 
--2 用 schedule 定义 requires: 一 个 组 件 c 需要 所 有 安排 为 c 提供 某 种 服务 的 组 件 。 
关于 PDS 的 完整 Alloy 模块 如 图 2-13 所 示 。 利 用 Alloy 的 约束 分 析 器 ， 我 们 验证 这 个 设 
计 的 所 有 fun 语句 ， 尤 其 是 对 PDS 删除 和 添加 组 件 的 操作 ， 是 逻辑 相 容 的 。 


module PDS 





open std/ord =- opens specification template for linear order 


sig. Component { 
name: Name, 
main: option Service, 
export: set Service, 
import: set Service, 
version: Number 

H no import & export } 


sig PDS { 
components: set Component, 
schedule: components -> Service ->? components, 
requires: components -> components 

}{ components.import in components.export } 


fact SoundPDSs { 


all P : PDS J 
with P { 
all c : components, s : Service | --1 


let c’ = c.schedule[e] { 
(some c’ iff s in c.import) && (some c’ => s in c’.export) } 
all c : components | c.requires = c.schedule(Service] } --2 


} 
sig Name, Number, Service {} 


fun AddComponent(P, P’: PDS, c: Component) { 
not c in P. components : 
P?’ components = P.components + c 

} run AddComponent for 3 but 2 PDS 


fun RemoveComponent(P, P’: PDS, c : Component) { 
c in P.components 
P’. components = P.components - c 

} run RemoveComponent for 3 but 2 PDS 





fun HighestVersionPolicy(P: PDS) { 
with P { 
ail s : Service, ¢: components, c’ : c.scheduleis], 
c’? : components - c? { 
s in c’’.export &k c’? name = c’ name => 
c’?.version in c’.version.~(Ord[Number] .prev) } } 
} run HighestVersionPolicy for 3 but 1 PDS 





fun AGuidedSimulation(P,P’,P’’ : PDS, ci, c2 : Component) { 

AddComponent (P,P? ,c1) RemoveComponent (P,P?? ,c2) 

HighestVersionPolicy(P) HighestVersionPolicy(P’) HighestVersionPolicy(P’’) 
} run AGuidedSimulation for 3 


assert AddingIsFunctionalForPDSs { 
all P, P’, P’’: PDS, c: Component { 
AddComponent(P,P?,c) && 
AddComponent (P,P??,c) => P? = pr? } 
} check AddingIsFunctionalForPDSs for 3 








E 2-13 PDS 的 Alloy 模型 
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断言 AddingIsFunctionalForPDSs 声称 : 向 一 个 PDS 添加 组 件 操 作 的 执行 产生 唯 
一 的 结果 PDS, Alloy 的 分 析 器 为 这 个 结论 寻找 一 个 反例 ， 其 中 PP 没有 组 件 ， 所 以 没什么 调 
度 或 需要 调度 的 ; MA P' 和 P" 以 component_ 2 为 仅 有 的 组 件 ， 添 加 到 P 上 ， 使 这 个 组 件 
在 那些 PDS 中 必需 且 被 调度 的 。 

因为 ?' 和 P" 看 起 来 相等 ， 这 怎么 可 能 是 一 个 反例 呢 ? 是 这 样 的 ， 我 们 在 范围 3 内 运行 分 
析 ， 故 PDS = {PDS_0, PDS_1i, PDS_2}, H Alloy 选择 PDS_ 0 作为 P，PDS_ 1 作为 P'， 
PDS_ 2 作为 P"。 因 为 集合 PDS 包括 3 个 元 素 ，Alloy“ 认 为 "它们 都 是 互 不 相同 的 。 这 是 谓词 
逻辑 所 加 强 的 对 相等 的 解释 。 显 然 ， 这 里 所 需 的 是 一 种 类 型 的 结构 相等 (structural equality of 
types): 要 保证 添加 一 个 组 件 得 到 一 个 结构 唯一 的 PDS。fun 语句 可 以 用 来 说 明 结 构 相 等 : 


fun StructurallyEqual(P, P’? : PDS) { 
P.components = P’. components 
P.schedule = P’ schedule 
P.requires = P’.requires 

} run StructurallyEqual for 2 


然后 ， 我 们 在 AdditionIsFunctional 中 简单 地 用 表达 式 StructurallyEqual 
(P'，P") 代 替 表 达 式 P' =P" ， 将 该 断言 的 范围 增加 到 7 ， 重 建 该 模型 ， 并 重新 分 析 该 断言 。 
”也 许 令 人 吃惊 ， 作 为 反例 ,我 们 找到 一 个 有 两 个 组 件 component_ 0 和 component_ 1 的 
PDS_0， 使 得 component_ 0. import = |Service_ 2} H component_1.import = 
iService_ 1}. AH Service_ 2 含 在 component _ 2.export 中 ,通过 添加 
component_ 2 ， 可 以 得 到 两 个 结构 不 同 的 合法 后 状态 ， 但 两 者 在 调度 程序 上 不 同 。 在 P， 
中 ， 有 与 PDS_ 0 相同 的 调度 实例 。P "不 但 为 component_ 0 调度 Component_ 2, #4 
Service_2; 而 且 Component_ 0 还 要 为 Component_ 1 提供 service_1。 这 个 分 析 
表明 : 添加 组 件 为 重新 调度 服务 创造 了 机 会 ， 有 好 的 一 面 ( 例 如 优化 )， 也 有 坏 的 一 面 (例如 
破坏 安全 性 )。 : 

软件 微 模 型 的 用 途 也 许 在 于 ,通过 有 导向 的 模拟 具有 更 多 探索 自身 的 能 力 ， 这 与 绝对 肯 
定 地 验证 其 某 些 性 质 相 反 。 通 过 生成 模拟 来 演示 这 一 点 ， 该 模拟 显示 对 PDS 删除 或 添加 组 
件 ， 使 得 调度 程序 总 安排 在 所 有 PDS 中 可 能 的 最 高 版 本 的 组 件 。 因 此， 我 们 知道 ， 这 样 的 调 
度 策略 关于 这 两 个 操作 是 相 容 的 。 这 并 不 意味 着 只 有 这 个 策略 ， 而 且 也 不 能 保证 在 使 用 所 安 
排 的 服务 时 ， 应 用 程序 不 会 中 断 。 下 列 的 fun 语句 在 具有 同名 的 提供 者 中 ,说 明 调 度 程序 
选择 具有 可 用 最 高 版 本 的 组 件 : 


fun HighestVersionPolicy(P: PDS) { 











with P { 
all s : Service, c : components, c’ : c.schedule[s], 
c’’ : components - c’ { 


s in c’’.export && c’’.name = c’.name => 
c’’.version in c’.version.~ (Ord [Number] . prev) 
} 
} 

} run HighestVersionPolicy for 3 but 1 PDS | 
表达 式 
c? version.“ (Ord(Number] .prev) | 

需要 解释 : c version 是 c' 的 版 本 号 ， 型 为 Number 的 一 个 元 素 。 符号 ^ 可 以 用 于 二 
元 关系 + : T -> T, 使 得 Y 的 类 型 仍然 是 了 >T， 并 表示 r 的 传递 闭 包 。 此 时 , T 等 于 
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Number, r 等 于 Ord[ Number]. prev, 
但 是 ， 后 一 个 表达 式 该 怎样 解释 呢 ? 假设 模块 包含 语句 Open std/brd， 这 打开 了 来 自 
库 std 的 文件 ord. als 中 另 一 个 模块 的 基调 规范 。 该 模块 包含 以 类 型 变量 为 参量 的 名 为 
ord 的 基调 ， 它 是 多 态 的 (polymorphic) 。 表 达 式 Ord[ Number] 用 类 型 Number 为 类 型 变量 
进行 实例 化 。 然 后 调用 具有 该 类 型 的 基调 关系 prev, HP prev 在 sta /ord 中 约束 为 线性 
序 。 直 接 效 果 是 对 Number 创建 了 一 个 线性 序 ， 使 得 关于 该 序 ，n. prev 是 n 的 前 一 个 元 
Ko A, n. "prev 列 出 了 关于 该 序 下 所 有 比 n 小 的 元 素 。 请 重新 阅读 一 下 fun 语句 的 主 
体 ， 确 信 它 叙述 了 想 要 表达 的 含义 。 
因为 fun 语句 用 其 参数 实例 进行 调用 ， 可 以 基于 HighestVersionPolicy 写 出 所 期 
望 的 模拟 : 
fun AGuidedSimulation(P,P’,P’’ : PDS，cl，c2 : Component) { 
AddComponent(P,P’,c1) RemoveComponent (P,P’? ,c2) 
HighestVersionPolicy(P) 


HighestVersionPolicy(P’) HighestVersionPolicy(P’’) 
} run AGuidedSimulation for 3 


Aolly 分 析 器 为 这 个 模拟 生成 一 个 场景 ， 相 当 于 源 自 P 中 的 两 个 不 同 操作 的 快照 ， 使 所 
有 参与 的 三 个 PDS 根据 HighestVersionPolicy 进行 调度 。 你 能 看 出 为 什么 要 处 理 两 个 
组 件 cl 和 c2 吗 ? 

在 结束 这 个 案例 研究 之 前 ， 我 们 指出 Alloy 及 其 分 析 器 的 局 限 性 。 为 了 能 够 使 用 命题 逻 
辑 的 SAT 求解 机 作为 分 析 引 擎 ， 只 能 检测 或 运行 位 于 断言 或 fun 语句 (如 果 对 所 有 参量 ， 它 
们 被 包 右 在 存在 量词 中 ) 主 体内 的 存在 式 或 全 称 式 二 阶 逻辑 公式 。 例 如 ， 我 们 甚至 不 能 检测 
是 否 存 在 Addcomponent 的 一 个 实例 ， 使 得 对 结果 的 PDS， 一 种 特定 的 调度 策略 是 不 可 能 
的 。 因 为 缺少 明确 的 理由 ， 用 Alloy 验证 组 件 的 每 个 内 聚集 合 可 以 对 某 个 PDS P 实现 为 
P. components 似乎 也 是 不 可 能 的 。 这 个 缺陷 来 自 于 此 类 问题 固有 的 复杂 性 ， 如 果 这 种 性 
质 需 要 得 到 保证 可 能 必须 使 用 定理 证 明 器 。 另 一 方面 ，Alloy 的 表达 能 力 允 许 我 们 得 到 模型 
的 快速 原型 并 探索 模拟 以 及 可 能 的 反例 ， 这 应 该 可 以 增强 对 设计 的 理解 ， 从 而 改进 设计 的 可 
靠 性 。 


2.8 习题 
练习 2. 1 
“1. 使 用 谓词 
A(x,y): x 欣赏 7 
Bla,y): « Hy 
P(x): x% 是 一 位 教授 
S(x): 4 是 一 名 学 生 
和 零 元 函数 符号 (常量 ) 
m: Mary 
iT FE Re f 


(a) Mary 欣赏 每 个 教授 。 
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( 管 案 不 是 VxA(m,， P(x) )。) 


(b) 某 个 教授 欣赏 Mary, 

(c) Mary 欣赏 自己 。 

(d) 没 有 学 生出 席 了 每 次 课 。 

(e) 不 是 每 次 课 所 有 学 生 都 出 席 。 

利用 谓词 规范 
B(x,y): x 击败 y 
F(x): x 是 一 个 (美式 ) 足球 队 
Q(x,yY):; x 是 y 的 四 分 卫 
L(x,y): x 输 给 y 

和 常 值 符号 
C: 野猫 
j: 掠夺 者 

把 下 列 句子 翻译 成 谓词 逻辑 语句 : 


(a) 每 个 球 队 都 有 一 名 四 分 卫 。 

(b) 若 掠夺 者 队 击 败 野 猫 队 ， 则 掠夺 者 队 没 有 输 给 每 支 足 球 队 。 

(c) 野 猫 队 击败 了 一 支 击 败 过 掠夺 者 队 的 球 队 。 

寻找 合适 的 谓词 及 其 规范 ， 将 下 列 语句 翻译 成 谓词 逻辑 : 

(a) 所 有 红色 物品 都 在 盒子 里 。 

(b) 只 有 红色 物品 在 盒子 里 。 

(c) 没 有 既是 猫 又 是 狗 的 动物 。 

(d) 每 个 奖品 都 被 一 个 男孩 赢 了 。 

(e) 一 个 男孩 赢得 了 每 一 种 奖品 。 

W(x, VER x 是 y 的 父亲 ; Ma, VRR x 是 y 的 母亲 。 类 似 地 ，H(x, y)、S(x, y) 
和 B(x，y) 分 别 表示 «x Æ y 的 丈夫 /姐妹 /兄弟 。 你 还 可 以 使 用 常量 来 记 个 体 ， 例 如 “Ed” 
和 “Patsy”。 然 而 ， 不 允许 使 用 上 述 谓词 外 的 任何 其 他 谓词 符号 。 将 下 列 语句 翻译 成 谓词 
逻辑 : 

(a) 每 个 人 都 有 一 个 母亲 。 

(b) 每 个 人 都 有 一 个 父亲 和 一 个 母亲 。 

(c) 无 论 什 么 人 都 有 一 个 父亲 和 一 个 母亲 。 

(d)Ed 是 一 个 祖父 。 

(e) 所 有 的 父亲 都 是 父母 。 

(人 所 有 的 丈夫 都 是 配偶 。 

〈g) 没 有 叔父 是 伯母 。 

(h) 所 有 兄弟 都 是 兄弟 姐妹 。 

(i) 没 人 的 祖母 是 任何 人 的 父亲 。 

(j) Ed 和 Patsy 是 丈夫 和 妻子 。 

(k) Carl 是 Monique 的 小 叔 子 。 

下 列 语句 取 自 Internet Taskforce Document (互联 网 任务 文档 ) RFC3157 “ Securely Available 
Credentials- Requirements” ( 可 用 安全 证 书 : 需求 ) 。 通 过 定义 适当 的 谓词 符号 ， 用 谓词 逻辑 
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说 明 下 列 每 个 语句 : 

(a) 攻 击 者 可 以 使 服务 器 相信 发 生 了 一 次 成 功 的 登录 ， 即 使 这 样 的 登录 从 未 发 生 。 

(b) 攻 击 者 可 以 改写 服务 器 上 他 人 的 证 书 。 

(c) 所 有 用 户 都 键入 密码 而 不 是 名 字 。 

(d) 必 须 支持 证 书 从 装置 的 的 传人 和 传 出 。 

(e) 协 议 绝对 不 能 强制 证 书 以 明文 形式 出 现在 任何 非 终 端 用 户 的 装置 上 。 

(协议 必须 支持 一 定 范围 的 密码 算法 ,包括 对 称 和 非 对 称 算法 ， 散 列 算法 和 MAC 算法 。 
(8g) 证 书 必须 经 用 户 认证 后 方 可 下 载 ， 或 者 下 载 格 式 需 用 户 完成 认证 后 方 可 解密 。 

(h) 不 同 的 终端 用 户 装置 可 以 用 于 下 载 、 上 传 或 管理 相同 的 证 书 集 。 


练习 2.2 


1. RFJ ld, f, ef, Hed 是 常量 , /是 二 元 函数 符号 ，g 是 三 元 函数 符号 。 
(a) 下 列 字符 串 中 哪些 是 下 上 的 项 ? 将 的 确 是 项 的 字符 串 的 语法 分 析 树 画 出 来 : 
i.g(d, d) 
if (x, ely, z), d) 
“ili. g(x, f(y, z), d) 
iv. g(x, h(y, z), d) . 
vf(f (eld, x), Keld, x), y, aly, d)), g(d, d)), g(f(d, d, x), d), z) 
(b) 和 上 项 的 长 度 是 其 字符 串 表 示 的 长 度 , 此 处 将 所 有 逗号 和 括号 都 计算 在 内 。 例 如 ， 
放 xX，g(y，z) ，d) 的 长 度 为 13。 列 出 天 上 所 有 长 度 小 于 10 的 无 变量 的 项 。 
《ce) 如 定义 1.32 中 所 述 ，F 上 项 的 高 度 定义 为 1 加 上 其 语法 分 析 树 中 最 长 路 径 的 长 度 。 列 
出 上 上 所 有 高 度 小 于 4 的 无 变量 的 项 。 
2. 画 出 项 (2 -s(x)) + (y*x) 的 语法 分 析 树 ， 注 意 在 这 个 项 中 ，- ，+ 和 * 是 以 中 缀 形式 
出 现 的 。 将 你 的 解 与 图 2-14 所 示 的 语法 分 析 树 做 比较 。 





图 2-14 表示 一 个 算术 项 的 语法 分 析 树 


3. 下 列 字 符 串 中 ， 哪 些 是 谓词 逻辑 中 的 公式 ? 如 果 不 是 ， 说 明理 由 ; 如 果 是 ， 请 画 出 语法 
分 析 树 。 
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“(a) 设 m 是 常量 , /是 一 元 函数 符号 ，S 和 B 是 二 元 谓词 符号 : 
i. S(m, x) 
ii. B(m, f (m)) 
iii. f (m) 
iv. B(B(m, x), y) 
v. S(B(m), z) 
vi. (B(x, y)—( dz S(z, y))) 
vii. (S(x, y)->S(y, ff (%)))) 
viii. (B(x)—B(B(x))) 
(b) 设 ec 和 4 是 常量 , /是 一 元 函数 符号 ，g 是 二 元 函数 符号 ， h 是 三 元 函数 符号 。 另 外 ， 
P 和 0 是 三 元 谓词 符号 : 
i Va P(f (d), h(g(c, x), d, y)) 
i. Yx P(f (d), h(P(x, y), d, y)) 
iii. Vx QO(g(h(x, f(d), x), g(x, x)), h(x, x, x), ©) 
iv. Jz (Q(z, z, z)—P(z)) 
v. Wx Vy (g(x, y)—>P(x, y, «)) 
vi. O(c, d, c) 
4. 设 几 是 3x (Ply, z)^ 人 (Vy (“Aly, x)v Ply, z)))), 其 中 P、Q 是 二 元 谓词 符号 。 
“(a) 画 出 由 的 语法 分 析 树 。 
“《b) 识 别 $ 中 所 有 自由 变量 和 约束 变量 叶 。 
(c) 中 是 否 存 在 既 自 由 出 现 又 约束 出 现 的 变量 ? 
“(d) 考 虑 项 w (w 是 一 个 变量 )、f (x) 和 g(y，z)， 其 中 f，g 分 别 是 一 元 和 二 元 函数 符号 。 
i WH o(w/ x], dlw/yl, olf (x)/ yl] 和 blg(y, z)/z]o 
ii.w、f(x) 和 g(y，z) 中 的 哪些 对 于 中 的 x 是 自由 的 ? 
iii.w、f(%) 和 g(y,z) 中 的 哪些 对 于 中 的 y 是 自由 的 ? 
(e) dx 在 中 中 的 辖 域 是 什么 ? 
(OBRE p HH IP, z2)ACV (7 Q(x, x)v P(x, z))))， 现 在，3x 在 四 中 的 连 
域 是 什么 ? 
5. (a) ik P E3 RRRA, MM y = Yall ay Pls, y, z))^(Yz(P(x, y, 2)))) 6 
语法 分 析 树 。 
(b) 指 出 该 语法 分 析 树 中 的 自由 变量 和 约束 变量 。 
(c) 列 出 其 中 所 有 自由 且 约 束 出 现 的 变量 。 
(JHA plt x), plt yli yle z], Beef (ely, y)), y)o tM Fy PAS, 
y，z 是 自由 的 吗 ? 
6. 重 命名 例 2.9 的 变量 ,使 得 结果 的 公式 与 $ 的 意义 相同 , 但 f(y,y) 对 于 中 的 x 是 
自由 的 。 


练习 2. 3 


1. 利用 规则 =i 和 =e,， 证 明 下 列 矢 列 的 有 效 性 。 对 = e 的 每 次 应 用 ， 一 定 要 指出 规则 实例 
中 、 t All t, 是 什么 。 
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(a)(y=0)^(y=x)F0=x 
(b)t, =t, F(t + t,) =(t +t) 
(c)(x=O0)V((x + x) >O)E(y=(% + x) ) (Cy >0)v(y= (0 + x))) 
. 回顾 在 我 们 的 模型 中 ，= 表示 元 素 间 的 相等 。 考 虑 公式 3x3y( 一 (x=y) 人 (Vz((z=x)Y 
(z=y))))。 你 能 用 日 常 语 言说 明 这 个 公式 的 含义 吗 ? 
. 试 着 写 出 一 个 谓词 逻辑 语句 ， 使 之 在 一 个 模型 中 直观 成 立 ， 当 且 仅 当 该 模型 (分 别 ) 有 :; 
“(a) 恰 好 三 个 不 同 元 素 
(b) 至 多 三 个 不 同 元 素 
“(c) 仅 有 限 个 不 同 元 素 
在 对 最 后 一 项 找 这 样 的 语句 时 ， 谓 词 逻 辑 的 哪 种 “局 限 性 ”会 出 现 问题 ? 
- (a) KH b> (9g, ^9)F09 一 9 )^(4 一 9 ) 的 一 个 (命题 逻辑 的 ) 证 明 。 
(b) 找 出 9 一 VxO(x)F Vx($ 一 Q(x) ) 的 一 个 (谓词 逻辑 的 ) 证 明 ， 只 要 在 由 中 不 是 自 
由 的 。 
(提示 : 只 要 你 在 前 一 项 (命题 逻辑 ) 证 明 中 使 用 了 人 ^ 规 则 ， 那 么 在 (谓词 逻辑 ) 证 明 中 就 使 
FAV 规则 。) . 
(c) 找 出 Vx P(x) 一 Q(x))FYxP(x) 一 VxQ(x) 的 一 个 证 明 。 
(提示 : HZR >q) 4(p.q,) F p, A Pa >q ^Q) 


5. 找 出 对 应 于 3x pHo Vap 的 一 个 命题 逻辑 矢 列 。 证 明 该 公式 。 
6. 证 明 下 列 矢 列 : 


~ 


(a) Vx P(x) Vy Ply); 以 Vx P(x) 为 前 提 ， 你 的 证 明 必须 以 Vi 规则 的 应 用 结束 ， 该 应 
用 需要 公式 P(y,)。 
(b) Vx (P(x)—Q(x))F( Vx "Q(x))—( Vr- P(x)). 
(ce) Wx (P(x)—>™ Q(x) FE >( Ax(P(%)A 0(x)))。 
. 下 列 矢 列 看 起 来 有 点 乏味 ， 但 在 证 明 其 有 效 性 的 过 程 中 ， 可 以 确保 你 真正 理解 如 何 幅 套 
地 使 用 证 明 规 则 。 
“(a) VxVy P(x, y) Vu Vo Plu, v) 
(b) dx 3y F(x, y)b Ju 3v F(u, v) 
“(c) dx Vy P(x, y)F Vy Ax P(x, y) 
. 在 本 练习 中 ， 只 要 你 应 用 量词 证 明 规则 ， 就 要 提 到 其 辅助 条 件 ( 如 果 可 用 的 话 ) 是 如 何 得 
到 满足 的 。 
(a) 证 明定 理 2.13 的 2(b) ~ (h)。 
(b) 证 明定 理 2.13 中 1(b) 的 一 个 方向 : m Jab H Yr 6, 
(c) 证 明定 理 2.13 中 的 3(a): (Wap) AC Va) HF- Yalong); 提醒 你 必须 作出 两 个 单 
独 的 证 明 。 | 
(d) 证 明定 理 2.13 中 4(a) 的 两 个 方向 : VxVyg$ dE Vy Vad, 
. 证 明 谓词 逻辑 中 下 列 矢 列 的 有 效 性 ， 其 中 G、P 和 8 的 元 数 为 1，S 的 元 数 为 0 (“ 命 
题 原子 ”): 
“(a) jx(S—0(x))HF S— 3x Q(x) 
(b)S— Jx Q(x) Ax (S+O(x)) 
(ce) dx P(x) Sb Vx (P(x)—>S) 
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*(d) Vx P(x) SE Jx (P(x)—5) 
(e) Vx (P(x)Y Q(x) )F Va P(x)Y Ax Q(x) 
(f) Wx dy (P(x)v Q(y))F Ay Vx(P(x)Y Q(y)) 
(g) Vx (7 P(x)^ Q(x) )F Vx (P(x)—0(%)) 
(h) Vx (P(x)^ Q(x))F Vx (P(x)—>Q(x)) 
(i) dx (7 P( a) A> Q(x))F Jx(=(P(x)^ QO(%))) 
(j) dx (7 P(x) v. Q(x))F dx(7(P(%) 47 Q(x) )) 
(k) Vx (P(x)^ O(a) )F Va Pla) A Vx Q(x) 
“(IDVx P(x)v Vx Q(x) Vx (P(x)Y Q(%)) 
*(m) dx (P(x)^ QO(x))F Jx P(x) A Ax Q(x) 
"(n) dx F(x)Y dx G(x) Jx (F(«)v G(x)) 
(0) Vx Vy (Q(y) > F(*))F Ay O(y) > Vx F(x) 
"(pp 7V«x 7 P(x)F Ax P(x) 
“(q) Vx 7 P(x)F Ix P(x) 
“(r) 7 dx P(x) Va 7 P(x) 
10. 如 命题 逻辑 自然 演绎 证 明 ， 对 谓词 逻辑 ， 有 些 看 似 容易 的 事情 很 难 证 明 。 典 型 的 情况 是 
涉及 一 一 e 规则 的 证 明 。 模 式 与 命题 逻辑 中 是 一 样 的 : 
(a) 证 明 pvY9F “(一 p ^~g) 有 效 是 相当 容易 的 。 试 证 明之 。 
(b) 证 明 3x P(x)F -Vx 一 P(x) 是 有 效 的 。 
《c) 证 明 一 (mp 人 gq)FpYg 的 有效 性 就 很 难 ， 必 须 先 尝试 证 明 一 一 (p Y g)， 然 后 利用 
”me 规则 。 试 证 明之 。 
(d) 重 新 表述 上 一 项 的 矢 列 ， 使 得 p 和 4 是 一 元 谓词 ， 且 两 个 公式 都 使 用 全 称 量词 。 证 
明 其 有 效 性 。 
11. 下 列 矢 列 的 证 明 结 合 了 相等 和 量词 的 证 明 规则 。 我 们 将 (由 一 峭 ) ^ (% 一 小 ) 缩写 为 bo, 
找 出 下 列 矢 列 的 证 明 : 
“(a)P(b)F Yx (x =b->P(x«)) 
(b)P(b), Vx Vy (P(x)^ P(y)—=x=y)- Yx (P(x) ox =b) 
"(c) dx dy (H(«, y)v Hy, x)), -Ix W(x, x) Ax 3y (x =y) 
(d) Vx(P(x)eox =b) P(b)A VxV y(P(2) 4 P(y)>x =y) 
12. 证 明 S— Va Q(x) Ve (S> ) 的 有 效 性 ， 其 中 S 是 0 元 的 (“命题 原子 ”)。 
13. 通过 自然 演绎 ,证 明 下 列 矢 列 的 有 效 性 : 
“(a) Vx Pla, x, x), Vx Vy Wz (P(x, y, 2) Pf (x), y, f (2)))HF PY (a), a, 
f(a)) 
“(b) Wa Pla, x, x), Vx Vy Vz (P(x, y, z)>P(f (x), y, f (2)))HF Az Pf (a), 
z, f (f (a))) 
“(ec)Vy OCb, y), Vx Vy (Q(x, y)—>Q(s(x), s(y)))F Jz (0(b, z)^ Q(z, 
s(s(b)))) 
(d) Vx Vy Wz (S(a, y)A Sly, z)—>S(x, 2)), Yxa S(x, x) Yx Vy (S(x, y)—> 
m S(y, x)) 
(e) Vx (P(x)¥ Q(x)), Ax 7 Q(x), Va (R(x)—=>= P(x))F Ax 7 R(x) 
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(£) Vx (P(x) (O(a) v R(x))), “3x (P(X)^ R(x)) Vx (P(x)—>Q(x)) 
(g) dx dy (S(x, y)v S(y, *))F Ax dy S(x, y) 
(h) dx (P(x)^ Q(x)), Va (P(t) R(x) )b 3x( R(x) 4 Q(x)) 


14. 使 用 合适 的 谓词 逻辑 符号 集 ， 将 下 列 论述 转化 为 谓词 逻辑 中 的 矢 列 : 


如 果 有 纳税 人 ， 那么 所 有 政治 家 都 是 纳税 人 。 如 果 有 慈善 家 ， 那 么 所 的 纳税 人 
都 是 慈善 家 。 因 此， 如 果 有 纳税 的 巧 善 家 ， 则 所 有 政治 家 都 是 慈善 家 。 
现在 给 出 谓词 逻辑 的 这 个 矢 列 的 证 明 。 


15. 讨论 一 下 定理 2. 13 的 等 价 性 形成 一 个 算法 的 基础 ， 给 定 5， 该 算法 将 量词 推移 到 公式 的 


语法 分 析 树 的 顶端 。 若 结果 是 yy， 你 能 说 出 p 和 乡 之 间 的 共同 点 和 不 同 点 吗 ? 


练习 2.4 


“1. 


BRAK OHV a Vy Ole(s, y), ey, y), 2), HPO 和 8 的 元 数 分 别 是 3 和 2。 找 出 
分 别 具 有 环境 1 和 的 两 个 模型 M 积 M'， 使 得 ME 但 MM ' 疾 .4 。 


. 考虑 语 旬 里 Vx Jy 3z (Pls, y)A(P(, y)A(P(a, 2) >P(z, x)))o FINER pA 


个 模型 满足 p? 

(a) 模 型 M 由 自然 数 集 构 成 ,满足 PM Sl (m, n)| m < nj。 
(DRAM HARRER, WEP E (m, 2 *m) 1 m 是 自然 数 | 。 
(c) 模 型 /M" 由 自然 数 集 构成 ， 满足 PME (Cm, n)l m<n+1}。 


. 设 P 是 二 元 谓词 。 找 出 满足 语句 Vx 一 P(*，x) 的 一 个 模型 ;再 找 出 一 个 不 满足 的 模型 。 
. 考虑 语句 Vx (dy P(x, y)^ (3zP(z, x)— Vy P(x, y)))。 在 你 所 选择 的 模型 和 查询 


表 中 模拟 该 语句 的 赋值 ， 当 根据 满足 关系 的 定义 对 子 公式 赋值 时 ， 关 注 一 下 初始 查询 表 / 
是 如 何 像 堆栈 一 样 增长 和 收缩 的 。 


. 设 由 是 语句 Vx Vy 9z (R(x,Y) 一 R(y, z))， 其 中 情 是 一 个 二 元 谓词 符号 。 
(a) Ala, b, c, d}, RY (b, c), (b, b), (b, a)|。 是 否 有 MF 62 无 论 是 哪 


种 情况 ， 请 给 出 理由 。 


NRA a, b, cl, RUŽI (b, c), (a, b), (e, 5)]。 是 否 有 MF $? 无 论 是 娜 种 


情况 ， 请 给 出 理由 。 


“6. 考虑 三 条 语句 : 


p, = Vx P(x,x) 

hı = Vx Vy (P(x,y) => P(y,x)) 

pa = Va Vy Val (P(2,y) A Ply,2) > P(x,z))) 
它们 分 别 表达 了 二 元 谓词 P 是 自 反 、 对 称 和 传递 的 。 通 过 为 上 述 每 对 语句 选择 一 个 模型 ， 
使 之 满足 这 两 个 语句 ， 但 不 满足 第 三 个 语句 ， 证 明 这 些 语句 中 的 每 一 个 都 不 能 由 其 他 语 
名 语 义 地 推导 出 来 一 一 实质 上 ， 要 求 你 找到 三 个 二 元 关系 ， 每 个 关系 仅 满 足 这 些 性 质 中 
的 两 个 。 


.证明 语 义 推导 Yx bE Ie $。 你 需要 取 满 足 Vx 一 由 的 任意 模型 ， 给 出 该 模型 也 必须 


WR Ix 由 的 理由 。 你 应 该 以 类 似 于 2. 4. 2 节 的 例子 的 方式 去 做 。 


- 诈 明 语义 推导 Vx P(x)v Vx O(n) EV x (P(x)v Q(x))。 
Bo. py 是 谓词 逻辑 语句 。 





af 5 ie # 109 


(a) 若 峭 由 中 语义 导出 ， 则 区 是 否 一 定 不 能 由 一 由 语义 导出 ? 
(bE yhp EALE, 少 是 和 否 一 定 可 由 中 语义 导出 且 可 由 了 了 语义 导出 ? 
(OESR EFH, y ETEA oyn ALF? 
(d) 峭 可 由 中 语义 导出 当 且 仅 当 boy BARN, ERA. 
10. Vx (P(x)Yv Q(x))F Vx P(x)v Vx OC +) eR CHES? 对 你 的 结论 给 出 理由 。 
11. 对 下 列 每 个 公式 集 ， 证 明 它们 是 相 容 的 : 
(a) Vx S(x, x), dx P(x), Vx dy S(x, y), Vx (P(x) Jy Sly, x)) 
(b) Vx S(x, x), Vx Ay S(x,y), 
Va Vy Vz ((S(x, y)^ S(y, z))—>S(x, z)) 
Ce) (Vx (P(x)Y Q(x) ) dy Rly), Yx (R(x)—=Q@(x)), Iy (7 Q(y)4 P(y)) 
(d) dx S(x, x), Vx Vy (S(x, y)—>(x=y)) 
12. 对 下 列 每 个 谓词 逻辑 公式 ， 找 出 不 满足 它 的 模型 ， 或 者 证 明 它 是 有 效 的 : 
(a) (Vx Vy (S(x, y) Sy, x)))—>(Yx 7 S(x, x)) 
"(b) dy (CV % P(x))—>P(y)) 
Ce) (Vx (P(x) Ay Q(y))) CV Ay (P(x) Q(Y) )) 
(d) (Vx dy (P(4)>Q(y))) = (Vx (P(x) > Ay Q(y))) 
(e) Vx Vy (Sa, y)—( dz (S(x, z)^ S(z, y)))) 
(f)( Va Vy (Slx, y)>(%=7))) (V2 7 S(z, z)) 
“(g)(Vx Ay (Slx, y)AC(S(x, y)A Sy, *))->(% =y)))) (7 Az Vw (S(z, w))) 
(h) VxVy((P(2)—>P(y))A(P(y) > P(«))) 
Ci) CW x ((P(x)>Q(x))^ Q(4)>P(x))) (CV e P(x) (Va 0(x))) 
(I) CCW x P(x) ) CV Q(x) )) CV xe ((P( 4) Q(%) )4(Q(4) >P(2)))) 
(k)( Vx dy (P(4)>0(y)) > C Ay Vx (P(x)>0(y))) (R) 


练习 2. 5 


1. 假设 谓词 逻辑 的 证 明 演 算是 合理 的 ( 见 练习 2.5 的 3)， 通 过 为 下 列 每 个 矢 列 找 出 一 个 模 
型 ， 使 得 F 左 边 的 所 有 公式 都 赋值 为 T， 而 上 右边 的 单一 公式 赋值 为 下， 说 明 不 能 证 明 其 
有 效 性 (解释 这 样 就 可 以 保证 证 明 不 存在 的 原因 ): l 
(a) Vx (P(x)v Q(x))HF Va P(x)Y Vx Q(x) 

“Cb) Vx (P(x)—>R(x)), Vx (Q(%)>R(x%))F Ax (P(x)^ Q(x)) 
(e)( Vx P(x) ) Lb Vx (P(x) -L), 其 中 上 是 0 元 的 

“(d)Vx dy S(x, y) Ay Vx S(x,y) 
Ce) dx P(x), Ay Q(y)F Az (P(z)^ Q(z)) 

"(f) dx (7 P(x)^ Q(x))F Vx (P(x)—0(x)) 

“(g) dx (7 Pla)v "QO(x))F Vx (P(x)Y Q(x)) 

2. 假定 在 一 阶 逻 辑 的 中 ，F 关 于 F 是 合理 的 和 完备 的 ， 详 细 解 释 ， 为 什么 F 的 不 可 判定 性 可 
推出 该 逻辑 的 可 满足 性 、 有 效 性 和 可 证 性 都 是 不 可 判定 的 。 

3. 为 了 证 明 谓 词 逻辑 自然 演绎 规则 的 合理 性 ， 直 观 上 看 需要 证 明 : 只 要 所 有 前 提 都 为 真 ， 
则 证 明 规则 的 结论 也 为 真 。 变 量 和 量词 的 出 现 会 带 来 哪些 附加 的 复杂 性 ?你 能 精确 地 叙 
述 证 明 合 理性 必要 的 归纳 假设 吗 ? 
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练习 2.6 


1. 


在 例 2.27 F, LETIA, ME ,了 Pd 是 否 成 立 ? 

“(a)l(u) =s,, I(v) =s,; 
(b)l(u) =s,, l(v) =s, 
说 明 你 的 理由 。 

. 证 明 A , AP Vx Vy Vz (C1^ C,^ Ga C4) 成 立 ， 当 且 仅 当 在 模型 M 中 ， 从 状态 (u) 
出 发 不 可 达 状 态 (o), HP C, 是 式 (2-12) 中 的 子 句 。 

. 如 果 人 允许 6 包含 任意 有 限 元 的 函数 符号 ， 定 理 2.26 是 否 适用 或 仍然 成 立 ? 


“4. 在 图 2-5 的 有 向 图 中 ， 从 s 出 发 有 多 少 条 路 径 可 达 s,? 


. 设 P 和 RR 是 2 元 谓词 符号 。 写 出 形 为 3 Py 的 存在 式 二 阶 逻 辑 公 式 ， 其 在 所 有 形 如 AM = 
(4，R” ) 的 模型 中 成 立 ， 当 且 仅 当 : 

`(a)R 包含 一 个 自 反 和 对 称 关 系 ，; 
(b)R 包含 一 个 等 价 关系 ; 
(ec) 存 在 一 条 能 恰好 访问 该 图 每 个 结 点 一 次 的 尽 路 径 ， 这 样 的 路 径 称 为 哈密 顿 路 径 ; 
(d) 尺 可 以 扩张 为 一 个 等 价 关系 : 存在 某 个 等 价 关 系 7 ,满足 R” CT, 

“(e) 关 系 “ 存 在 一 条 长 为 2 的 RR 路 径 ” 是 传递 的 。 


“6. 非 形 式 地 说 明 ; 式 (2-16) 给 出 罗素 悖 论 : 4 必须 是 ， 而 又 不 能 是 4 的 一 个 元 素 。 


. 定理 2. 28 证 明 的 第 二 项 依赖 于 事实 ; 车 二 元 关系 R 包含 在 一 个 同类 型 的 自 反 传递 关系 
H, M TERS RAAR., 证明 此 结论 。 

. 对 例 2. 23 和 图 2-5 中 的 模型 ， 判 定 下 列 哪些 模型 检测 成 立 ， 并 给 出 理由 : 

(a) IP Wx Wy (PCa, y)>7 Ply, x))AVu Vv (R(u, v)>P(v, u))); 
Cb) VPC Ax Jy A P(x, y)APCy, z)^n P(x, 2))>Vu Vo(R(u, v)>P(u, v))); 
(ce) VP (Vx 7 P(x, x) VVu Vo(R(u, v)>P(u, v))), 

. WRTEKE, RAR, SKA IM ERRFERI MH PBRAXKFCITKARRA 
下 列 陈述 : 
(a) 所 有 对 称 的 传递 关系 都 不 包含 R， 或 者 都 是 等 价 关 系 。 

“(b) 所 有 结 点 都 在 至 少 一 个 R ELBE. 
(c) 存 在 一 个 包含 站 的 、 对 称 的 最 小 关系 。 
(d) 存 在 一 个 包含 尺 的 、 自 反 的 最 小 关系 。 

“(e) 关 系 尺 是 一 个 极 大 等 价 关 系 : R 是 等 价 关 系 ; 并 且 不 存在 包含 R 的 等 价 关系 。 


练习 2.7 


“1 


. (a) 解 释 为 什么 图 2-11 的 模型 在 事实 NoSelfLove 出 现 的 前 提 下 是 OfLovers 的 一 个 
反例 。 
(b) 你 能 否 将 例 2. 19 PHBA la, b, cl 与 图 2-11 中 的 模型 等 同 起 来 ， 使 这 两 个 模型 在 
结构 上 是 相同 的 ? 说 明理 由 。 
`(c) 非 形式 地 解释 ， 为 什么 不 存在 满足 式 (2-8) 和 事实 NoSelfLove 的 、 少 于 3 个 元 素 的 
模型 。 


2. 使 用 Alloy 模块 的 下 列 片 段 : 


if i 111 





module AboutGraphs 
sig Flement {} 


sig Graph { 
nodes : set Element, 
edges : nodes -> nodes 


用 于 下 列 建 模 任 务 : 

(a) 回 忆 练 习 2.4 的 6 及 其 该 题 3 个 语句 ,其 中 P(*，7y) 表 示 存 在 一 条 从 * By 的 边 。 对 
每 个 语句 写 出 一 个 相 容 性 检测 ， 用 于 生成 一 个 图 模型 ， 在 该 模型 中 ， 此 语句 为 假 ， 而 
另外 两 个 语句 为 真 。 在 Alloy 中 对 其 进行 分 析 。 若 分 析 器 能 找到 这 样 的 模型 ， 它 的 最 
小 范围 是 什么 ? 

“(b) (回忆 表达 式 # S =n 指明 集合 S 有 个 元 素 。) 利 用 Alloy 生成 一 个 具有 7 个 结 点 的 图 ， 
每 个 结 点 恰好 可 以 达到 有 限 条 路 径 上 的 5 个 结 点 (未 必 是 相同 的 5 个 结 点 ) 。 

(c) 一 个 长 度 为 n 的 回路 是 个 结 点 的 集合 以 及 一 条 通过 每 个 结 点 、 且 开始 和 结束 于 同一 
个 结 点 的 路 径 。 生 成 一 个 长 度 为 4 的 回路 。 

3. 一 个 无 向 图 有 一 个 结 点 集合 和 边 的 集合 ， 每 个 边 连 接 两 个 结 点 ， 只 是 这 些 边 没 有 任何 

方向 。 

(a) 调 整 前 项 练习 中 的 Alloy 模块 ， 例 如 ， 添 加 适当 的 fact 来 “模拟 ”无 向 图 。 

(b) 写 出 一 些 相 容 性 和 断言 检测 并 分 析 它 们 ， 以 增强 你 对 Aloy 的 无 向 图 模块 分 析 的 信心 。 


“4. 一 个 可 着 色 图 由 一 个 结 点 集合 、 结 点 之 间 的 一 个 二 元 对 称 关系 ( 边 ) 以 及 为 每 个 结 点 分 配 


一 种 颜色 的 函数 所 构成 。 这 个 函数 满足 约束 : 若 结 点 间 通 过 一 条 边 相 关联 ， 则 它们 有 不 

同 的 颜色 。 

(a) 为 这 种 结构 和 这 些 约束 写 一 个 基调 About ColoredGraphs, 

(b) 写 一 个 fun 语句 ， 它 生成 一 个 结 点 仅 被 2 种 颜色 着 色 的 图 。 这 样 的 图 是 2 可 着 色 的 。 

(c) 对 =3 和 4， 写 一 个 fun 语句 ， 它 生成 一 个 结 点 可 被 种 颜色 着 色 的 图 ， 使 得 所 有 
这 种 颜色 都 用 到 了 。 这 样 的 图 是 可 着 色 的 。 

(d) 在 一 个 模块 中 测试 这 三 个 函数 。 

(e) 试 着 写 一 个 fun 语句 ， 它 生成 一 个 3 可 着 色 图 ， 但 肯定 不 是 2 TRAM, Alloy HH 
型 创建 器 (model builder) 会 给 出 什么 报告 ? 考虑 由 fun 语句 体 通过 对 其 所 有 参量 进行 
存在 量词 化 得 到 的 公式 。 判 断 它 是 否 属于 谓词 逻辑 、 存 在 式 二 阶 逻 辑 或 全 称 式 二 阶 
ve, 


"5S. Kripke 模型 是 一 个 状态 机 ， 有 具有 非 空 的 初始 状态 集合 init ， 从 各 状态 到 原子 属性 的 映射 





prop (用 于 说 明 在 哪些 状态 下 哪些 属性 为 真 ) ， 一 个 状态 迁移 关系 next ， 以 及 终止 状态 

的 集合 final( 没 有 后 续 状 态 的 状态 ) 。 对 模块 KripkeModel; 

(a) 写 出 基调 StateMachine 以 及 一 些 反映 这 种 结构 和 这 些 约束 的 基本 事实 。 

(b) 写 一 个 fun 语句 Reaches ， 以 状态 机 为 第 一 个 参量 ， 以 状态 集 作 为 第 二 个 参量 ， 使 
得 第 二 个 参量 指定 第 一 个 参量 从 任意 初始 状态 可 达 的 状态 集 。 注 意 ; 给 定 类 型 声明 
r: T ->T， 表 达 式 *r 的 类 型 也 是 T ->T， 而 且 指定 工 的 自 反 传递 闭 包 。 

(c) 写 出 下 列 fun 语句 ， 并 检测 其 相 容 性 : 

i DeadlockFree(m: StateMachine), Æ m 的 可 达 状 态 中 ， 仅 有 为 final 的 状 
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态 可 以 死 锁 ; 
i. Deterministic(m: StateMachine), 在 m 的 所 有 可 达 状 态 上 ， 迁移 关系 是 确 
EH: 每 个 状态 最 多 发 出 一 个 迁移 ; 
iii, Reachability(m: StateMachine, p: Prop), 具有 属性 p 的 某 个 状态 在 m 
中 可 达 ; 
iv. Liveness(m; StateMachine, p: Prop), Xi m 到 达 哪 个 状态 ， 它 都 可 以 
从 该 状态 出 发 ， 到 达 一 个 使 p 成 立 的 状态 ; 
(d). 写 一 个 断言 Implies, WH: 只 要 状态 机 关于 一 个 性 质 满足 Liveness, WEX 
于 该 性 质 也 满足 Reachability, 
ii, 在 你 选择 的 范围 内 分 析 该 论断 。 由 这 种 分 析 ， 你 能 得 出 什么 结论 ? 
(e) 写 一 个 断言 Converse， 它 叙述 一 个 性 质 的 Reachability 蕴涵 其 Liveness。 在 
3 的 范围 内 进行 分 析 。 基 于 分 析 的 结果 ， 你 得 出 什么 结论 ? 
(人 ) 写 一 个 fun 语句 , 进行 分 析 时 ， 生 成 一 个 有 2 个 命题 和 3 个 状态 的 状态 机 , 使 得 它 满 
足 图 2-15 标题 中 的 语句 陈述 。 





图 2-15 一 个 非 确定 状态 机 的 快照 ， 其 中 任何 非 最 终 状 态 都 不 是 死 锁 ， 
并 且 满 足 同样 属性 的 状态 


“6. 群 是 密码 学 中 的 基本 要 素 。 当 使 用 PUTTY, Secure Socket Layers 等 协议 时 ， 群 运算 正 默 默 
地 工作 于 背景 中 。 群 是 一 个 三 元 组 (C，x，1) ， 其 中 *: G x 6 一 6 是 一 个 函数 ， 且 1 e 6， 
G1 对 每 个 xe C， 存 在 某 个 yeC， 使 得 xx*xy=yxx=1( 任 何 这 样 的 y 称 为 x 的 着) ; 

G2 对 所 有 x, y, zeG, RITA x*(yxz)=(xxy)*z; 
G3 对 所 有 xeC, RNA x*lalx«xax, 
(a) 说 明 关于 群 的 一 个 基调 ,使 之 实现 这 种 功能 及 其 约束 。 
(b) 写 一 个 fun 语句 AGroup ， 它 生成 一 个 有 三 个 元 素 的 群 。 
《ec) 写 一 个 说 明道 元 唯一 的 断言 Inverse。 在 5 的 范围 内 对 其 进行 检测 。 报 告 你 的 发 现 。 
小 范围 假设 说 明 些 什么 ? 、 
(d)i. 写 一 个 说 明 所 有 群 都 交换 的 断言 Commutative。 一 个 群 是 交换 的 ， 当 且 仅 当 对 其 
所 有 元 素 x 和 7y， 有 xxy=yxxo 
i. 在 5 的 范围 内 检测 断言 Commutative， 并 报告 你 的 发 现 。 小 范围 假设 说 明了 
什么 ? 


ii. 在 6 的 范围 内 时 重新 检测 断言 Commutative， 并 记录 下 该 工具 用 了 多 长 时 间 找 





Mi Ow ' 113 


到 一 个 解 。 由 这 个 检测 你 学 到 了 什么 ? 
(e) 对 上 述 函 数 各 断言， 限制 群 的 范围 为 1 是 否 安全 ? 在 Alloy 中 如 何 做 到 这 一 点 ? 
. 在 Alloy 中 ， 我 们 可 以 扩充 基调 。 例 如 ， 我 们 可 以 声明 


sig Program extends PDS { 
m : components -- initial main of PDS 


~] 


} 
这 声明 Program 实例 的 类 型 为 PDS， 但 还 具有 一 个 预 设 的 名 为 m 的 组 件 。 注 意 ， 在 m: 
components 中 出 现 的 components 是 如 何 参考 一 个 程序 ( 视 为 一 个 PDSS ) 的 组 件 集合 
的 。 在 这 个 练习 中 ， 要 求 你 修改 图 2-13 的 Alloy 模块 。 : 

(a) 包 含 一 个 如 上 的 基调 Program。 加 入 一 个 事实 ， 说 明 所 有 程序 预 设 组 件 都 有 一 个 
main 方法 ; 而 且 对 所 有 程序 ， 其 components 集合 是 其 作用 于 预 设 组 件 m 上 的 关系 
requires 的 自 反 传递 闭 包 。Alloy 用 *r 记 关 系 工 的 自 反 传递 闭 包 。 

(b) 写 一 个 导向 模拟 ， 如 果 相 容 ， 它 产生 有 3 个 PDS 的 模型 ， 其 中 恰好 有 一 个 是 程序 。 该 
程序 有 四 个 组 件 ， 包 括 预 设 的 m， 其 所 有 调度 服务 都 来 自 于 剩 下 的 3 个 组 件 。 使 用 
Alloy 分 析 器 判断 你 的 模拟 与 本 项 目 中 给 定 的 规范 是 否 相 容 和 匹配 。 

(c) 我 们 说 一 个 程序 的 组 件 关 于 该 程序 是 垃圾 (garbage) ， 如 果 从 m 的 main 服务 出 发 ， 通 
Ù requires 调度 该 组 件 不 能 到 达 任 何 服务 。 如 果 P 和 P' 的 实例 约束 为 程序 ， 
AddComponent 和 RemoveComponent 的 限制 是 否 已 经 强制 出 现 “ 垃 圾 回收 ” ， 如 果 
是 ,解释 是 如 何 出 现 的 。 

8. 回顾 2.6 节 中 对 存在 式 和 全 称 式 二 阶 逻 辑 的 讨论 。 然 后 研究 图 2-13 中 的 fun 语句 和 断言 
的 结构 。 如 你 所 知 ，Alloy 通过 由 其 导出 一 个 公式 来 分 析 这 样 的 语句 ， 试 图 在 指定 的 范围 
内 找到 一 个 模型 : 断言 体 的 否定 ; 或 fun 语句 体 ， 其 所 有 参量 都 加 以 存在 量词 化 。 对 每 
个 这 样 的 导出 公式 ， 判 断 它们 是 否 可 以 表示 为 一 阶 逻 辑 、 存 在 式 二 阶 逻 辑 或 全 称 式 二 阶 
人 逻辑。 

9. 回顾 2.7 节 ，Alloy 结合 模型 检测 人 人 p 和 有 效 性 检测 FF 由 ， 请 讨论 这 种 结合 能 到 什么 
程度 ? 


2.9 文献 注释 


在 谓词 逻辑 的 发 展 进程 中 ,许多 设计 决策 已 经 以 我 们 今天 所 熟知 的 形式 采用 。 在 古 希 脂 
和 中 世纪 时 代 就 有 这 样 的 谓词 逻辑 系统 ， 本 书 中 的 许多 例子 和 习题 可 以 作为 代表 ， 但 我 们 认 
为 谓词 逻辑 始 于 Gottlob Frege 在 1879 年 的 著作 ， 印 刷 本 见 [Fre03]。 在 f Hod83] 中 ， 从 
W. Hodges 所 写 的 一 章 中 的 前 几 页 ， 我 们 可 以 找到 对 逻辑 发 展 作出 过 杰出 贡献 的 许多 其 他 人 
的 阐述 。 

许多 书 涵盖 了 经 典 逻 辑 及 其 在 计算 机 科学 中 的 应 用 。 我 们 对 这 些 文献 给 出 并 不 完整 的 指 
南 。 图 书 [SA91] 、[vD89j 和 [Gal87] 包 含 了 比 本 书 更 多 的 理论 应 用 ， 包 括 类 型 理论 ， 逻 辑 
编程 ， 代 数 规范 和 项 重 写 系统 。[ Fit96] 采 用 了 关注 于 自动 定理 证 明 的 处 理 方法 。 包 括 
[ Ham78 ] 和 [ Hod83] 在 内 的 文献 详细 地 研究 了 谓词 逻辑 的 数学 方面 的 特征 ， 如 证 明 系 统 的 完 
备 性 和 一 阶 算术 的 不 完备 性 。 





日 ”在 大 多 数 面向 对 象 的 语言 中 , 如 Java, extends 创建 新 类 型 。 在 Alloy 2.0 和 2.1 中 , 它 创建 一 个 类 型 的 子 集 ， 
而 不 是 创建 新 类 型 ， 其 中 这 些 子 集 具有 附加 结构 ， 可 能 需要 满足 附加 的 约束 . 
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这 些 著作 中 的 大 部 分 都 介绍 了 除 自 然 演 绎 之 外 的 证 明 系 统 ， 如 公理 系统 和 布景 系统 。 尽 
管 自然 演绎 系统 相对 于 公理 方法 具有 语言 优雅 和 简洁 的 优点 ， 但 在 面向 计算 机 科学 读者 的 逻 
辑 书 中 ， 阐 述 自然 演绎 处 理 的 并 不 多 见 。[ BEKV94 ] 是 个 例外 ， 它 首次 引进 了 我 们 这 里 用 到 
的 关于 量词 的 证 明 法 则 。 一 个 称 为 Jape 的 自然 演绎 定理 证 明 器 已 经 开发 出 来 ,在 其 中 人 们 
可 以 改变 可 用 的 规则 集合 ， 还 可 以 指定 新 的 规则 ?。 

关于 可 计算 性 理论 的 标准 参考 文献 是 [ BJ80] 。 在 课本 [ Tay98 ] 中 可 以 找到 波斯 特 对 应 问 
题 不 可 判定 性 的 证 明 。 波 斯 特 对 应 问题 的 第 二 个 实例 取 自 [Sch92]。[EN94] 是 关于 数据 库 
系统 基础 的 一 部 著作 。 如 果 想 找 出 逻辑 与 计算 复杂 性 之 间 更 多 的 密切 联系 ， 我 们 强烈 建议 你 
参阅 [ Pap94] ， 其 中 2.6 节 的 讨论 在 很 大 程度 上 基于 这 篇 文献 。 

本 章 中 所 有 完整 的 Alloy 模块 的 源 代码 (工作 于 Alloy2.0 和 ?2.1 下 )， 以 及 与 Aloy3.0 3 
容 的 源 代码 可 以 在 本 书 网 站 的 “辅助 材料 ”中 找到 。PDS 模型 源 自 于 2002 秋季 的 C475 软件 
工程 环境 课程 ， 该 课程 是 由 Susan Eisenbach 和 本 书 第 一 作者 合作 讲授 的 ; 为 . NET 的 Global 
Assembly Cache 定制 的 正式 出 版 模型 将 出 现在 [EJC03] 中 。 建 模 语言 Alloy 和 及 其 约束 分 析 器 
[JSS01] 是 由 D. Jackson 以 及 他 在 麻 省 理工 学 院 计算 机 科学 实验 室 的 软件 设计 组 ( Software 
Design Group) 开 发 的 。 这 个 工具 有 一 个 专门 的 寄存 网 址 Alloy. mit. edu, 

关于 类 型 化 高 阶 逻辑 及 其 在 程序 框架 建 模 和 验证 的 应 用 的 更 多 信息 ， 可 在 F. Pfenning 关 
于 计算 和 演绎 的 课程 主页 ”上 找到 。 


© www. comlab. ox. ac. uk/oucl/users/bernard. sufrin/ jape. htmi 


© www. 2. cs. cmu. edu/ ~ fp/courses/comp-ded/ 





第 3 章 通过 模型 检测 进行 验证 


3.1 验证 的 动机 


能 够 验证 计算 机 系统 (不 论 它们 是 硬件 ， 软 件 或 是 两 者 的 结合 ) 的 正确 性 具有 很 大 优势 。 
在 安全 依 关 (safety- critical) 的 系统 中 ， 这 种 优势 最 为 明显 ， 但 也 适用 于 识 业 依 关 的 系统 ( 诸 
如 大 量 生产 芯片 )， 以 及 任务 位 关系 统 等 等 。 最 近 ， 形 式 验证 方法 在 工业 上 变 得 非常 有 用 ， 
因此 ， 对 能 够 应 用 这 种 证 明 方法 的 专业 人 才 的 需求 持续 增长 。 在 本 章 及 下 一 章 中 ， 我 们 考虑 
遥 辑 在 验证 计算 机 系统 或 程序 的 正确 性 问题 的 两 种 应 用 。 

形式 化 验证 技术 可 看 作 三 个 部 分 组 成 : 

。 用 于 系统 建 模 的 框架 ， 典 型 的 是 某 一 类 别 的 描述 语言 ; 

se 用 于 描述 待 验 证 性 质 的 规范 语言 ; 

。 用 来 确立 系统 描述 是 否 满足 规范 的 验证 方法 。 

对 于 验证 的 不 同 处 理 可 根据 以 下 准则 来 分 类 

基于 证 明 与 基于 模型 。 在 基于 证 明 的 处 理 中 ， 系 统 描述 是 一 组 (适当 的 逻辑 中 的 ) 公式 
T， 而 规范 是 另 一 个 公式 由 。 验 证 的 方法 就 是 试图 找到 下 FF o 的 证 明 。 典 型 地 ， 这 需要 指导 
和 来 自用 户 的 专业 知识 。 

在 基于 模型 的 处 理 中 ， 系 统 由 适当 逻辑 的 模型 M 表 示 。 规 范 仍 由 公式 由 表示 ， 而 验证 
方法 由 计算 模型 M 是 否 满足 $( 写 为 MF 4$) 构 成 。 对 有 限 模型 而 言 ， 这 种 计算 通常 是 自 
动 的 。 

在 第 1 章 和 第 2 章 中 ,我们 可 以 看 到 ， 远 辑 证 衣 系 统 经 常 是 合理 且 完 备 的 ， 即 .$9( 可 
证 明 性 ) 成 立 当 且 仅 当 T 了 FF 由 (语义 推导 ) 成 立 ， 后 者 定义 如 下 : 对 所 有 模型 M ， 如 果 对 一 切 
wel, RAMEY, MAME 由 。 于 是 我 们 看 到 ， 基 于 模型 的 方法 潜在 地 比 基 于 证 明 的 方法 
更 简单 ， 因 为 它 基 于 单一 模型 M， 而 不 是 基于 一 个 可 能 的 无 限 类 。 

自动 化 的 程度 。 在 自动 化 程度 方面 ， 对 验证 的 不 同 处 理 是 有 差异 的 ; 最 极端 的 情况 是 完 
全 自动 化 和 完全 手动 。 许 多 计算 机 辅助 方法 处 于 两 者 之 间 。 

完全 验证 与 性 质 验证 。 规 范 可 能 描述 系统 的 单一 性 质 ， 也 可 能 描述 其 全 部 性 能 。 后 者 的 
验证 代价 显然 是 昂贵 的 。 

预期 的 应 用 领域 。 可 以 是 硬件 或 软件 、 顺 序 的 或 并 发 的 、 反 应 的 或 终止 的 ， 等 等 。 一 个 
反应 系统 是 对 其 环境 做 出 反应 的 系统 ， 因 而 并 不 意味 着 终止 (例如 ， 操 作 系统 ， 嵌 人 式 系统 
和 计算 机 硬件 ) 。 

开发 前 与 开发 后 。 在 系统 开发 过 程 的 早期 引进 验证 会 有 很 大 好 处 ， 因 为 在 生产 周期 中 越 
早 发 现 错误 ， 纠 正 的 花费 也 越 少 。( 据 称 ，Intel 公司 为 了 解决 奔腾 芯片 的 FDIV 错误 ， 损 失 
达 数 百 万 美元 。) 

本 章 关 注 一 种 叫做 模型 检测 (model checking) 的 验证 方法 。 根 据 以 上 分 类 ， 模 型 检测 是 
一 种 自动 的 、 基 于 模型 的 、 性 质 验证 处 理 方法 。 这 种 方法 预期 用 于 并 发 的 、 反 应 式 系统 ， 最 
初 是 作为 一 种 开发 后 方法 论 出 现 的 。 并 发 错误 属于 那 种 用 测试 方法 (运行 若干 个 重要 情景 模 
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拟 的 活动 ) 最 难 发 现 的 错误 之 列 ， 因 为 它们 倾向 于 不 可 再 现 或 不 为 情况 测试 所 覆盖 ， 因 此 拥 
有 一 种 能 帮助 人 们 找到 这 些 错误 的 检测 技术 是 非常 有 价值 的 。 

第 2 章 中 描述 的 Alloy 系统 也 是 一 种 自动 的 、 基 于 模型 的 性 质 验证 处 理 。 然 而 ， 使 用 模 
型 的 方式 稍 有 不 同 。Alloy 寻找 形成 用 户 所 做 论断 的 反例 模型 。 模 型 检测 从 用 户 所 描述 的 模 
型 开始 ， 然 后 发 现 用 户 断 言 的 假设 对 该 模型 是 否 有 效 。 如 果 无 效 ， 它 可 以 产生 由 执行 轨迹 所 
构成 的 反例 。Alloy 和 模型 检测 之 间 的 另 一 个 差别 是 ， 模 型 检测 (不 像 Alloy ) 明确 地 关注 系统 
的 时 态 性 质 和 时 态 演化 。 

与 此 相对 照 ， 第 4 章 描述 一 种 非常 不 同 的 验证 技术 。 依 据 上 述 分 类 准则 ， 它 是 一 种 基于 
证 明 的 、 计 算 机 辅助 性 质 验证 处 理 。 期 望 用 于 我 们 希望 能 够 终止 并 且 产 生 结 果 的 程序 的 
验证 。 

FR AY SW BE Tt AS EH (temporal logic) 。 时 态 逻 辑 的 思想 是 : 在 一 个 模型 中 ， 公 式 的 真 
与 假 不 是 静态 的 ， 而 在 命题 逻辑 或 谓词 逻辑 中 的 确 如 此 。 取 而 代 之 ， 时 态 有 逻辑 的 模型 包含 若 
干 状 态 ， 而 一 个 公式 可 以 在 某 些 状态 下 为 真 ， 在 其 他 状态 下 为 假 。 因 此 ， 静 态 真 的 概念 被 动 
态 真 概念 所 取代 ， 关 于 这 种 动态 真 概 念 ， 公 式 可 以 随 系统 的 状态 演化 而 改变 其 真 值 。 在 模型 
检测 中 ， 模 型 M 是 迁移 系统 (transition systems) ， 而 性 质 小 是 时 态 逻 辑 公式 。 为 了 验证 一 个 
系统 满足 一 个 性 质 ， 我 们 必须 做 三 件 事 情 : 

。 使 用 模型 检测 器 的 描述 性 语言 对 系统 进行 建 模 ， 得 到 一 个 模型 人 At; 

。 用 模型 检测 器 的 规范 语言 对 性 质 进行 编码 ， 产 生 一 个 时 态 逻 辑 公式 Q; 

UMA p HRA, 运行 模型 检测 器 。 

WRME $b， 模 型 检测 器 输出 回答 “yes”， 否 则 输出 “no”; 在 后 一 种 情况 下 ， 大 多 数 模 
型 检测 器 还 会 产生 导致 失败 的 系统 行为 轨迹 。 这 种 “逆向 追踪 ”的 自动 生成 是 系统 设计 与 调 
试 中 的 一 个 重要 工具 。 ， 

由 于 模型 检测 是 一 种 基于 模型 的 处 理 ( 根 据 前 面 给 出 的 分 类 准则 )， 因 此 本 章 与 前 两 章 
不 同 ， 将 不 再 关心 时 态 逻 辑 的 语义 推导 (T E 由 ) 或 证 明 论 (T Ho) (诸如 发 展 一 种 自然 演绎 演 
算 ) 。 我 们 只 研究 满足 的 概念 ， 即 模型 和 公式 之 间 的 满足 关系 (AtF 中) 。 

人 们 在 研究 各 种 事情 中 提出 和 使 用 的 时 态 逻 辑 是 一 个 庞大 的 家 族 。 这 些 数 量 庞大 的 形式 
体系 可 根据 其 对 “时 间 ” 的 特别 观点 来 进行 分 类 组 织 。 线性 时 间 人 逻辑 把 时 间 看 成 是 路 径 的 集 
合 ， 此 处 的 路 径 是 时 间 有 瞬时 的 一 个 序列 。 分 支 时 间 (branching time) 逻辑 把 时 间 表 示 为 树 ， 
以 当前 时 间 为 根 向 未 来 分 叉 。 分 支 时 间 看 起 来 使 未 来 的 不 确定 性 变 得 更 加 明确 。 时 间 的 另 一 
个 性 质 是 把 时 间 想 象 成 连续 的 或 是 离散 的 。 如 果 研 究 模拟 计算 机 ， 则 推荐 前 者 ; 而 对 于 同步 
网 络 则 更 偏向 于 后 者 。 

时 态 逻 辑 有 动态 的 方面 ， 因 为 在 一 个 模型 中 ， 公 式 的 真 值 并 不 像 它们 在 谓词 逻辑 或 命题 
逻辑 中 那样 是 固定 的 ， 而 是 依赖 于 模型 内 部 的 时 间 点 。 在 本 章 中 ， 我 们 研究 一 种 时 间 是 线性 
的 逻辑 ， 称 为 线性 时 态 逻 辑 (Linear-time Temporal Logic, LTL) ， 以 及 另 一 种 时 间 是 分 支 的 逻 
$, Bll it SE} (Computation Tree Logic, CTL), EWG TE EE A I, eee 
经 被 证 明 是 非常 富有 成 果 的 。 人 们 已 经 开始 将 其 用 于 软件 的 验证 。 模 型 检测 就 是 对 问题 人 1 ， 
s Fg 是 否 成 立 计算 答案 的 过 程 ， 此 处 4$ 是 LTL 或 CTL 中 的 一 个 公式 ， MM 是 所 考虑 系统 的 一 
个 适当 模型 ，* 是 该 模型 的 一 个 状态 ，F 是 满足 关系 。 

像 A{ 这 样 的 模型 不 应 该 与 实际 的 物理 系统 相 混淆 。 模型 是 略 去 很 多 与 $ 的 检测 无 关 的 物 
理 系统 的 实际 特征 的 抽象 。 这 类 似 于 微 积 分 和 力学 中 所 做 的 抽象 。 那 里 ， 我 们 谈论 直线 ， 完 美 
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的 贺 ， 或 一 个 无 摩擦 实验 。 这 些 抽象 非常 有 力 ， 人 允许 我 们 把 焦点 集中 在 特别 关心 的 本 质 上 。 


3.2 线性 时 态 运 辑 


线性 时 态 逻辑 (或 LTL) 带 有 人 允许 我 们 指示 未 来 的 连接 词 。 它 将 时 间 建 模 成 状态 的 序列 ， 
无 限 延 伸 到 未 来 。 这 个 状态 序列 有 时 称 为 计算 路 径 ( 或 简称 路 径 ) 。 一 般 来 说 ， 未 来 是 不 确 
定 的 ， 因 此 我 们 考虑 若干 路 径 ， 代 表 不 同 的 可 能 未 来 ， 任 何 一 种 都 可 能 是 实现 的 “实际 ” 
路 径 。 

我 们 固定 一 个 原子 公式 (例如 p，g,，r，…， 或 p1，p;，…) 的 集合 Atoms 。 这 些 原子 代 
表 系 统 可 能 成 立 的 原子 事实 ， 诸 如 ' 打印 机 Q5 1, 或 者 “进程 3259 被 挂 起 " ， 或 者 “寄存 器 
R1 的 内 容 是 整 值 6”。 原 子 描述 的 选择 明显 依赖 于 我 们 正在 处 理 的 系统 的 特殊 兴趣 。 


3.2.1 LTL 的 语法 


定义 3.1 线性 时 态 逻辑 (LITL) 有 下 列 用 Backus Naur 范式 给 出 的 语法 : 
gi =TlLipl (74) 1 (6496)! (Gv 6) 1 (64) 
I (Xp) 1 (FG) 1 (Cb) 1 (P6UG)! (PW)! (ORS) (3-1) 

其 中 p 是 取 自 菜 原子 集 Atoms 的 任意 命题 原子 。 

FH, FITALE LTL 公式 ， 因 为 它们 都 是 Atoms PHRF; MWR o Æ LIL 公 
式 ， 那 么 ”由 也 是 LTL 公式 ， 等 等 。 连 接 词 X,，F，G，U， R 和 WW 称 为 时 态 连 接 词 (temporal 
connectives) 。X 意 为 “下 一 个 状态 ”(neXt) ，F 意 为 “ 某 未 来 状态 ”(Future ) ， GRAMMAR 
来 状态 ”( Globally ) 。 接 下 来 的 三 个 连接 词 U，R 和 WAIA“ AS” (Until), “释放 ” 
( Release ) 和 “ 弱 - 直 到 ”( Weak-until) 。 我 们 将 在 下 一 节 考 察 所 有 这 些 连 接 词 的 精确 含义 ; 现 
在 我 们 把 注意 力 集中 于 其 语法 。 

这 是 LTL 公式 的 一 些 例子 : 

e (((Fp)^(G q))->(p Wr) ) 

e (F(p>(Gr))v((>7q)U p)), 图 3-1 所 示 的 是 该 公式 的 语法 分 析 树 。 





图 3-1 (F(p 一 Gr)v(( 一 g)Up)) 的 语法 分 析 树 
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© (p W(qWr)) 

© ((G(F p))-(F(qvs))). 
写 出 所 有 括号 是 一 件 烦 人 的 事 ， 并 且 使 这 些 公式 难以 阅读 。 在 不 引起 歧义 的 前 提 下 ， 很 多 括 
号 是 可 以 省 略 的 ; 例如 ，(p 一 (F gq) ) 可 以 无 歧义 地 写 为 p 一 F 9g。 然 而 ， 为 避免 歧义 ， 其 他 
一 些 括号 是 必需 的 。 为 了 省 略 一 些 括号 ， 我 们 为 LTL 的 连接 词 指定 了 一 些 与 命题 逻辑 和 谓 
词 逻辑 相 类 似 的 绑 定 优先 级 。 

约定 3.2 ”一 元 连接 词 ( 包 括 和 时 态 连接 词 X, F 和 G) 具 有 最 高 绑 定 级 。 接 下 来 依次 
ÆU, RAW; 然后 是 ^ 和 v ， 最 后 是 一 。 

这 种 绑 定 优先 级 允许 我 们 在 不 引起 歧义 的 情况 下 去 掉 一 些 括 号 。 上 述 例 子 可 以 写 为 : 

e FpAGqopWr 

e F(p>Gr)v-qUwUp 

°pW(qWr) 

e GFp>F(q Vs) 
所 保留 的 括号 是 为 了 超越 约定 3. 2 中 规定 的 优先 级 ， 或 者 是 为 了 消除 该 约定 所 不 能 解决 的 歧 
义 。 例 如 ， 如 果 完 全 不 使 用 括号 ,第 二 个 公式 将 变 成 Fp 一 Gr Yqg Up， 对 应 于 图 3-2 所 示 
的 语法 分 析 树 ， 这 是 相当 不 同 的 。 


图 3-2 Fp>Grvynq Up 的 语法 分 析 树 ， 假 定 使 用 约定 3.2 的 绑 定 优先 级 


下 列 公式 不 是 合式 公式 : 

。 Ur: 因为 U 是 二 元 的 ,不 是 一 元 的 

e p Gg: 因为 6G 是 一 元 的 ,不 是 二 元 的 。 

定义 3.3 LIL 公式 由 的 子 公 式 是 任意 公式 少 ， 其 语法 分 析 树 是 o 的 语法 分 析 树 的 子 树 。 
例如 ，p W(g Ur) MFAREp, q, r, gUr 和 p Wl(g Ur). 


3.2.2 LTL 的 语义 


我 们 所 感 兴趣 的 可 用 LTL 进行 验证 的 系统 类 可 以 用 迁移 系统 来 建 模 。 迁 移 系 统 通过 状 
态 ( 静 态 结构 ) 和 迁移 (动态 结构 ) 来 建 模 迁 移 系 统 。 更 形式 地 ; 
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定义 3.4 一 个 迁移 系统 At = (8S， 一 ，Z) 是 一 个 状态 集合 5， 带 有 迁移 关系 (5S 上 的 
二 元 关系 )， 使 得 每 个 se SHARA cS, 满足 ;一 s'， 以 及 一 个 标记 函数 L; So 
P(Atoms). 

本 章 中 ,迁移 系统 也 简称 为 模型 。 因 此 ， 一 个 模型 有 状态 集 S， 关 系 一 (说 明 系 统 是 如 
何 从 一 个 状态 转向 另 一 个 状态 ) ， 以 及 对 每 个 状态 ; 伴随 有 原子 命题 的 集合 LCs) (在 该 特殊 
状态 下 为 真 )。 我 们 用 P(Atoms ) 表 示 Atoms HHH, MATHE., OM, ip, ol HER 
是 名，{p} ，ifgj ，{p，q} |。 理解 工 的 一 个 好 方式 是 把 它 看 成 是 对 所 有 原子 命题 的 一 个 真 
值 赋 值 ， 如 命题 逻辑 的 情形 一 样 (我 们 称 为 一 个 赋值 )。 现 在 的 差别 是 我 们 有 不 只 一 个 状态 ， 
因此 这 种 赋值 依赖 于 系统 所 处 的 状态 s: L(s) 包 含 了 在 状态 * 下 为 真 的 所 有 原子 。 

我 们 可 以 方便 地 用 有 向 图 表示 一 个 (有 限 ) 迁移 系 统 人 的 所 有 信息 ， 图 的 结 点 ( 称 为 状 
态 ) 包 含 了 在 该 状态 下 为 真 的 所 有 原子 命题 。 例 如 : 如 果 我 们 的 系统 只 有 三 个 状态 s,。 ，s 和 
s% ， 状 态 之 间 仅 有 的 可 能 迁移 是 sosi Soss 5:5), 5,25, Ml s,s,, #L(s,) ={p, gt, 
L(s,)={9q, ri 和 ZL(s,) = ir), 那么 我 们 可 以 把 所 有 这 些 信息 浓缩 到 图 3-3 中 。 只 要 可 行 ， 
我 们 倾向 于 把 模型 表示 成 这 样 的 图 。 


图 3-3 迁移 系统 M = (5S， 一 ,L) 作 为 有 向 图 的 简明 表示 。 用 ! 标 记 状 态 s 当 且 仅 当 Le L(s) 


定义 3.4 中 要 求 每 个 se 5 至 少 有 一 个 se S, 使 得 ;一 s' 意 味 着 系统 “ 死 锁 ” 状 态 。 这 是 
为 技术 上 的 方便 ,实际 上 ， 它 并 不 表示 对 可 以 建 模 的 系统 的 任何 真正 的 限制 。 如 果 一 个 系统 
确实 有 死 锁 ， 总 可 以 添加 一 个 代表 死 锁 的 额外 状态 s。， 对 每 个 状态 s 加 上 新 的 迁移 s>s, E 
原来 的 系统 中 是 死 锁 ) ， 以 及 so 一 su。 图 3-4 是 这 样 的 一 个 例子 。 


So 
s 
So 1 S 


Si 
2 53 
S4 
图 3-4 在 左 图 的 系统 中 ,状态 s, 没有 任何 进一步 的 迁移 。 在 右 图 中 ， 用 一 个 “ 死 锁 ”状态 ss 扩展 该 系统 ， 


使 得 没有 死 锁 状 态 。 当 然 ， 我 们 理解 达到 “ 死 锁 ”状态 s, 与 原始 系统 中 的 死 锁 相对 应 


定义 3.5 模型 M =(S， 一 , L) 中 的 一 条 路 径 是 5 中 状态 的 无 限 序列 ，， $2， S35 
对 每 个 i 21, 有 8,5; 440 我 们 将 该 条 路 径 写 为 S1 Ss tto 
考虑 路 径 n = 5 一 % 一 …。 它 表示 系统 的 一 个 可 能 未 来 ; 先是 系统 在 状态 s, REEI 
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态 s,， 依 此 类 推 。 我 们 用 5' 表示 从 s 开始 的 后 级 ， 例 如 Ww E sso 

从 给 定 状态 * 开始 的 所 有 可 能 计算 路 径 可 视 化 ， 将 迁移 系统 展开 为 一 个 无 限 计 算 树 是 非 
常 有 用 的 。 例 如 ， 如 果 我 们 对 指定 的 开始 状态 % 将 图 3-3 的 状态 图 展开 ， 则 得 到 图 3-5 所 示 
的 无 限 树 。 在 通过 展开 模型 得 到 的 树 中 ， 模 型 M 的 执行 路 径 被 明确 地 表示 出 来 。 





图 3-5 将 图 3-3 的 系统 展开 成 一 个 从 特定 状态 开始 的 所 有 计算 路 径 的 无 限 树 


定义 3.6 KRM=(S, >, LE-TEM, n =5 一 … 是 人 4 中 的 一 条 路 径 。T 是 否 满足 
一 个 LTL 公式 ， 由 满足 关系 上 定义 如 下 : 

Ln ET 

2.07 FL 

3.7 Ep HRR pe L(s,) 

4.nE >} SAMY wkd 

5.2 F 6,46, SERA rE 6, A wk 4, 

6.TFd vd $AR4 TE 6, RTEA, 

7.TF 由 一 由 当 且 仅 当 只 要 EO, RATE , 

8.TFX 中 当 且 仅 当 关上 F 由 

9.7 上 Gg 当 且 仅 当 对 所 有 i>1, t Eo 

10.TFEF 中 当 且 仅 当 存在 某 个 i=l, HEBa ED 


11.m 上 $9 Uy 当 且 仅 当 存在 某 个 21, KE wR YHAMMASH=1, =, i-1, WES 

12. mF 加 Wy 当 且 仅 当 存在 某 个 i>1， E nr Ey AM TRAM =1, =, i-1, AWEO, 或 者 对 
所 有 k=1, Hat ES 

cE $R y 当 且 仪 当 或 者 存在 某 个 i=1， En ES, HAWMAS=1, =, i, Er Ey; 或 者 对 


MAkE1, Aa EW, 

语句 1 和 2 反映 工 总 为 真 、 上 总 是 假 的 事实 。 语 句 3 ~7 与 我 们 在 命题 逻辑 中 所 看 到 的 
对 应 的 句子 类 似 。 语 句 8 从 路 径 中 移 除 第 一 个 状态 ， 为 了 创建 一 条 始 于 “下 一 个 ”( 第 二 个 ) 
状态 的 路 径 。 

注意 语句 3 意味 着 原子 沿 着 所 考虑 路 径 的 第 一 个 状态 下 被 赋值 。 然 而 ， 这 并 不 意味 着 出 
现在 LIL 公式 中 的 所 有 原子 都 指向 路 径 的 第 一 个 状态 。 如 果 它 们 处 于 一 个 时 态 连接 词 的 范 
围 中 (例如 ,在 C(P 一 X 9) 中 ) ， 可 满足 性 计算 涉及 到 所 考虑 路 径 的 后 级 ， 而 原子 则 参考 那 
些 后 缀 的 第 一 个 状态 。 
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现在 来 考察 处 理 二 元 时 态 连接 词 的 语句 11 ~ 13, UCR Until) 是 其 中 最 常见 的 一 个 。 
公式 >, U p, 在 一 条 路 径 上 成 立 ， 如 果 由 连续 地 成 立 直到 6, Mir, WH, 6, U bd, 实际 上 
要 求 $, 在 某 个 未 来 状态 确实 成 立 。 见 图 3-6 中 的 解释 : 沿 着 所 示 的 路 径 ，s Bhs, 的 每 个 状 
态 都 满足 p Uq, (8s, 到 s, 不 满足 。 


50 Si $2 53 $4 Ss $6 $7 Sge $9 Sio 


图 3-6 LTL 语 义 中 Until( 直到 ) 含 义 的 解释 。 假设 p 在 ( 且 只 在 )s,， S45 S55 $56, $7, Sg AWE, 
q 在 ( 且 只 在 )s, 点 满足 ， 那 么 沿 着 所 示 路 径 只 有 s, 到 s, 满足 pUg 


另外 的 二 元 连接 词 是 W( 代 表 Weak- until) 和 R( 代 表 Release), Weak-until 5 U 相像 ， 
RE oW y TERRENS REKKA 最终 被 满足 ， 而 这 是 p Uy ERY. BRR BU 
的 对 偶 ; W, PRY SH -(-PU gb), RARR BAKED 13 确定 小 必须 保持 为 
真 ， 直 到 (并 包含 ) 使 4 变 为 真 的 时 刻 ( 如 果 有 这 样 的 时 刻 ) ; O° RR Yo RAW 实际 上 非 
常 类 似 ， 差 别 在 于 它们 交换 了 6 Ay 的 角色 ， 而 且 关 于 W 的 语句 有 i-1, 而 R 有 i。 既然 
它们 相似 ， 为 什么 两 个 都 需要 呢 ? 我 们 并 不 需要 两 个 ， 稍 后 我 们 将 看 到 ， 它 们 是 可 以 相互 定 
义 的 。 然 而 ， 两 个 都 保留 非常 有 用 。R 有 用 是 因为 它 是 U 的 对 偶 ， 而 W 有 用 是 因为 它 是 U 
的 一 种 弱 形式 。 

注意 ， 无 论 是 until 的 强 版 本 (DU) 还 是 弱 版 本 (WW) ， 都 没有 谈 及 在 until 实现 之 后 所 发 生 
的 任何 事情 。 这 与 自然 语言 中 一 些 关于 until 的 用 法 相反 。 例 如 ， 句子 “我 吸烟 直到 我 22 
岁 ”， 不 仅 表明 这 个 人 一 直 吸 烟 到 22 岁 ， 而 且 我 们 会 将 这 个 句子 理解 成 这 个 人 从 22 岁 那 个 
点 开始 不 再 吸烟 了 。 这 与 时 态 逻 辑 中 until 语义 是 不 同 的 。 我 们 可 以 通过 将 U 与 其 他 连接 词 
结合 来 表达 这 个 关于 吸烟 的 语句 。 例 如 ， 断 言 SU(: ^ G -~ *) 曾 经 为 真 ， 其 中 * 表示 “我 吸 
烟 ”"”，t 表示 “我 22 岁 ”。 

评注 3.7 注意 ， 在 上 面 的 语句 9 ~ 13 中 ， 未 来 包括 了 当前 。 这 意味 着 当 我 们 说 “在 所 
有 的 未 来 状态 "时 ， 我 们 将 当前 状态 作为 一 种 未 来 状态 包括 了 进来 。 是 否 这 样 做 不 过 是 约 
定 。 作 为 一 个 练习 ， 你 可 以 考虑 开发 一 个 未 来 不 包括 当前 的 LIL 版 本 。 采 纳 这 种 未 来 包含 
当前 约定 的 一 个 结果 是 ， 公 式 G pp, pg U p fl pF p 在 每 个 模型 的 每 个 状态 下 都 为 真 。 

到 目前 为 止 ， 我们 定义 了 路 径 和 LTL 公式 之 间 的 一 个 满足 关系 。 然而 ， 为 了 验证 系统 ， 
我 们 乐于 将 满足 LTL 公式 的 模型 作为 整体 看 待 。 只 要 模型 的 每 一 条 可 能 的 执行 路 径 都 满足 
该 公式 ， 定 义 为 成 立 。 

定义 3.8 设 M=(5，, 一 ，7) 是 一 个 模型 ，ssS$， 且 由 是 一 个 LTL 公式 。 如 果 对 M 的 
每 条 始 于 s 的 执行 路 径 r， 都 有 7 此 6， 我 们 记 为 MM，s F 小 。 

如 果 从 上 下 文 看 人 M 是 清楚 的 ， 我 们 可 以 将 M，s F 由 写成 *F $。 很 明显 ， 我们 已 经 为 
下 列 过 程 的 形式 基础 勾 划 了 轮廓 ， AE p, MAs, IM, sH 是 否 成 立 。 本 章 后 面 我 
们 将 考虑 实现 这 种 计算 的 算法 。 现 在 ， 我们 来 看 对 图 3-3 和 图 3-5 中 的 系统 进行 检测 的 
例子 。 

L M，s。 下 pg 成立， 因为 原子 符号 p 和 9 含 在 结 点 s 中 : 对 每 条 以 s, 开始 的 路 径 n, TEpAgo 

2. M，so 上 上 一 +r 成 立 ， 因 为 原子 符号 7 不 含 在 结 点 s 中。 

3. HEL, M, so ET i. 

4. M, SEXTE, AM so 开始 的 所 有 路 径 以 s, RA s 作为 其 下 一 状态 ， 而 每 个 状态 都 满足 +。 
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5. M, 5 F X(9 Ar) 不 成 立 ， 因 为 在 图 3-5 中 ， 最 右边 的 计算 路 径 9 一 2 一 52 一 2 一 … 的 第 二 个 结 点 5 
包含 r， 却 不 包含 g。 

6. At，sFG 一 (ppA^Ar) 成 立 ， 因 为 始 于 s 的 所 有 计算 路 径 都 满足 G 一 (PA^r)， 即 沿 该 路 径 的 每 个 状 
态 下 都 满足 一 (p ^ r) 。 注 意 在 一 个 状态 下 G 中 成 立 ， 当 且 仅 当 从 给 定 状态 可 达 的 所 有 状态 下 ，4 成 立 。 

7. 基于 同样 的 原因 ，M，s, 上 Gr 成 立 ( 注 意 5。 由 s, RE). 

8. WMH RAEs, AM, sEF( q 八 r) 一 FG r。 这 说 明 ， 如 果 始 于 s 的 任何 路 径 n 到达 一 个 满足 
(一 g 八 7) 的 状态 ， BARB 5 满足 FG r。 事实 上 这 是 真 的 ， 如 果 该 路 径 有 一 个 状态 满足 (一 g Ar), WA 
(因为 该 状态 必 是 s, ) 该 路 径 一 定 满足 FG r。 注 意 FG r 关于 路 径 所 说 的 内 容 : 最 终 ， 你 会 连续 地 得 到 r。 

9. 公式 GFp 表示 沿 着 问题 中 的 路 径 ，p 无 限 多 次 地 发 生 。 直 观 地 说 ， 无 论 你 沿 着 路 径 走 多 远 ( 这 是 G 
的 部 分 ) ， 你 都 会 发 现 仍 有 p 在 你 前 面 ( 这 是 下 的 部 分 )。 例 如 ， 路 径 s,s, 一 s% 一 5 一 … 满 足 GF p, 但 路 径 
s0 一 S52 一 3. 一 5, 一 … 不 满足 。 

10. 在 我 们 的 模型 中 ， 如 果 一 条 始 于 so 的 路 径 上 有 无 限 个 p， 则 该 路 径 必定 是 s0 一 s1 一 so 一 s1 一 …， 而 
且 此 时 该 路 径 上 也 有 无 限 多 个 r， 故 M，so 卡 GF p 一 GF r。 但 换 一 下 位 置 就 不 然 了 ! M, so 上 GF roGFk p 
不 成 立 ， 因 为 可 以 找到 始 于 % 的 路 径 有 无 限 多 个 r, 但 只 有 一 个 p。 


3.2.3 规范 的 实际 模式 


用 LTL 公式 能 够 检测 哪些 实际 相关 的 性 质 呢 ? 我 们 列举 几 个 共同 模式 。 假 设 原 子 描述 
包含 一 些 诸如 busy( 忙 ) 和 requested PR) 这 样 的 词 。 我 们 可 以 要 求实 际 的 系统 具有 以 下 一 
些 性 质 : 

© 在 started 成 立 但 在 ready 不 成 立时 ， 不 可 能 到 达 状 态 ， 

G 一 (started 人 一 ready) 

这 个 公式 的 否定 表示 得 到 这 样 一 个 状态 是 可 能 的 ， 但 这 只 有 在 路 径 (r E 由 ) 上 进行 解释 下 才 如 此 。 

如 果 对 状态 (s F 由 ) 上 进行 解释 ， 我 们 不 能 断言 这 种 可 能 性 ， 因 为 关于 那 种 解释 ， 我 们 无 法 表达 路 

径 的 存在 性 ; 上 面 公式 的 否定 断言 : 所 有 的 路 径 最 终 到 达 这 样 一 个 状态 。 

对 任何 状态 ， 如 果 一 个 (对 某 些 资源 的 ) 请 求 (request) 发生， 那么 它 将 最 终 被 确认 (acknowledged) : 

G(requested—+F acknowledged) 。 

在 每 一 条 计算 路 径 上 ， 一 个 特定 过 程 常 “使 能 " (enabled) 无 限 多 次 : 

G F enabled, 

。 不 管 发 生 什么 情况 ， 一 个 特定 过 程 最 终 被 永久 死 锁 ( deadlock) : 

F G deadlock, 

如 果 该 过 程 被 使 能 无 限 次 ， 则 它 运 行 无 限 多 次 : 

G F enabled 一 G F running, 

如 果 有 乘客 想 去 第 五 层 ， 一 个 上 行 的 电梯 在 第 二 层 不 改变 方向 : 

G(floor2 A directionup A ButtonPressed5— > (directionup U floor5 ) ) 。 

此 处 ， 原 子 描述 是 由 系统 变量 构造 的 布尔 表达 式 ， 比 如 floor2。 

然而 ， 有 些 事情 是 LTL 不 可 能 表达 出 来 的 。 一 大 类 这 样 的 事情 是 断言 路 径 的 存在 性 陈 

如 下 面 这些 : 

© 从 任何 状态 出 发 ， 都 可 能 达到 一 个 重启 (restart) 状态 ( 即 ; 从 所 有 状态 出 发 都 存在 一 条 路 径 到 达 一 个 
满足 restart 的 状态 ) 。 

。 电梯 可 以 闲置 在 第 三 层 不 开门 ( 即 : 从 处 于 第 三 层 的 状态 出 发 ， 存 在 一 条 路 径 ， 沿 着 该 路 径 电 梯 停 
留 在 原 地 ) o . 

LTL 不 能 表达 这 些 陈 述 ， 因 为 它 不 能 直接 断定 这 些 路 径 的 存在 性 。 在 3. 4 节 ， 我 们 将 考 

虑 计算 树 邮 辑 ( CTL) ， 它 拥有 对 路 径 进 行 量词 化 的 算 子 ， 因 此 可 以 表达 这 些 性 质 。 
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3.2.4 LTL 公式 之 间 的 重要 等 价 


定义 3.9 我 们 说 两 个 LTL 公式 6 My 是 语义 等 价 的 (或 简单 说 是 等 价 的 ) 并 写 为 由 = 
上 沙 ， 如 果 对 所 有 模型 MM 以 及 MM 中 的 所 有 路 径 :T 上 中 当 且 仅 当 此 

oy 等 价 意味 着 o 和 由 在 语义 上 是 可 以 互 换 的 。 如 果 o 是 某 个 更 大 的 公式 X 的 一 个 
子 公 式 ， 且 $= ， 那 么 ， 可 以 在 X PH 6 FRA y 而 不 改变 X 的 意义 。 在 命题 逻辑 中 已 经 
看 到 ^ 和 vY 是 互相 对 偶 的 ， 意 思 是 如 果 你 在 ^ 前 放 一 个 ~， 它 就 变 成 v ， 反 之 也 成 立 ， 

(pA) = TOY 7p Adv) 二 一 中 和 一 东 
(由 于 ^ 和 v 是 二 元 的 ， 将 一 个 否定 向 下 加 入 其 中 的 一 个 语法 分 析 树 中 也 起 到 双重 否定 的 
效果 。) 

类 似 地 ，F 和 G 是 互相 对 偶 的 ， 而 X 与 其 自身 对 偶 : 

“G@=F 76 -FFh=Gnh 7WXG=X7G 
U AR Be aA: 
“(d6Up) = “GR-Y~ (ERy)=>pU>y 
我 们 应 该 给 出 这 些 等 价 的 形式 证 明 ， 但 它们 很 容易 ， 故 留 给 读者 作为 练习 。 从 “道义 ”上 讲 ， 
W 也 应 该 有 一 个 对 偶 ， 如 果 你 愿意 ， 可 以 发 明 一 个 。 写 出 可 能 意味 着 什么 ， 然 后 基于 意义 
的 第 一 个 字母 选取 一 个 符号 。 然 而 ， 这 样 做 也 许 用 处 不 大 。 
F 关于 v，G 关于 ^ 的 分 配 律 也 如 此 ， 即 ; 
Fidvy) =FovFy 
G(dA*) =CHrGY 

将 此 与 2.3.2 节 中 的 量词 等 价 比较 。 但 是 对 人 ^ 不 是 分 配 的 。 这 意味 着 存在 一 个 模型 
该 模型 的 一 条 路 径 可 以 区 别 F($ AW) MF OAF SOME My). PIM, ME 3-3 的 系统 
中 取 路 径 so 一 .一 so 一 s1 一 …， 它 满足 Fp 和 Fr， 但 不 满足 F(p ^r)。 

这 里 是 LTL 中 的 另 两 个 等 价 关 系 : 

Fy=TU$ CH=1LRY 
”第 一 个 等 价 揭示 了 Uni 状态 的 两 件 事情 : 第 二 个 公式 p 必须 变 为 真 ， 且 直到 那 时 为 止 , 第 
一 个 公式 下 必须 成 立 。 因 此 ， 如 果 我 们 对 第 一 个 公式 “不 加 约束 ”， 它 就 会 转 而 要 求 第 二 个 
公式 成 立 ， 这 正 是 下 所 要 求 的 。( 公 式 本 代表“ 不 加 约束 ”( no constraint), Me BRIE TR 
XL, 不 需 做 任何 事 ,， 它 强调 的 就 是 无 约束 。 在 同样 意义 下 ， 表示 “所 有 约束 ”( every 
constraint) 。 如 果 要 求 让 上 上 成立， 必须 满足 存在 的 所 有 约束 ， 而 那 是 不 可 能 的 。) 

第 二 个 公式 G $= 上 R$ 可 以 通过 将 第 一 个 等 价 的 两 边 前 面 加 上 一 ， 并 应 用 对 偶 规 则 所 
得 到 。 另 一 种 更 直观 的 方式 是 回顾 “释放 ”(release) 的 含义 ;上 释放 小 ， 但 上 永远 不 会 为 真 ， 
因此 ， 中 不 可 能 得 到 释放 。 

另外 一 对 等 价 与 Until 的 强 版 本 和 弱 版 本 (U AW) AE, FR until 可 以 视 为 弱 until 加 上 
最 终 必须 实际 发 生 的 约束 : 


bpUy=pWyrry l (3-2) 
为 了 证 明 等 价 式 (3-2) ， 先 假设 一 条 路 径 满 足 6 U ww。 然 后 ， 由 语句 11， 有 i=1 使 nm' 上 上 vy， 
且 对 所 有 j=1,，…, i-1, 有 mF 中 。 由 语句 12， 这 证 明了 名 W wv; 并 由 语句 10, 证 明 


Fy。 于 是 ， 对 所 有 路 径 m， 如 果 m 上 FB Uy 那么 wn 上 四 W 炎 和 人 下 y。 作 为 练习 ， 读 者 可 以 
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证 明 反 之 也 成 立 。 
由 1 写 出 克也 是 可 能 的 W 很 像 U， 但 允许 永远 不 发 生 的 可 能 人 性; 
$Ww=oUyved (3-3) 
通过 仔细 观察 语句 12 和 13 可 以 发 现 R MW 是 非常 关 似 的 。 差 别 在 于 它们 交换 了 参量 四 和 
yi, AXP W 的 语句 有 i- 1， 而 关于 RR 有 i。 因 此， 它们 可 以 如 下 地 相互 表示 就 不 足 
为 奇 了 : 
pWy=yR Yy) (3-4) 
RY =P Weny) (3-5) 


3.2.5 LTL 的 适当 连接 词 集 


回顾 由 = 少 成 立 ， 当 上 且 仅 当 在 任何 迁移 系统 中 ， 满 足 由 的 任何 路 径 也 满足 少 ， 反 之 亦 
然 。 如 命题 逻辑 ， 有 一 些 多 余 的 连接 词 。 例 如 ， 在 第 1 章 中 我 们 已 经 看 到 ， 集 谷 { 上 ，^， 一 | 
形成 一 个 适当 的 连接 词 集合 ， 因 为 其 他 连接 词 vY， 一 ，T 等 都 可 由 这 三 个 表达 。 

在 LTL 中 也 存在 小 的 适当 连接 词 集合 。 以 下 是 这 种 情形 的 一 个 总 结 : 

。X 与 其 他 连接 词 完全 正 交 (orthogonal) 。 也 就 是 说 ， 它 的 出 现 对 于 其 他 连接 词 的 相互 定义 没有 任何 帮 

助 。 此 外 ，X 也 不 能 由 其 他 连接 词 的 任何 组 合 导出 。 

e 每 个 集合 {1U，X| 、{R, X], W, X 都 是 适当 的 。 为 看 到 这 一 点 ， 我 们 注意 到 

一 由 对 偶 中 RyY= 一 (一 中 0 一 少 ) 以 及 用 该 对 偶 得 出 的 等 价 式 (3-4) ， 能 分 别 由 右 定 义 R 和 WW。 

一 由 对 偶 $4 U y= 一 (一 也 R 一 峭 ) 和 等 价 式 (3-4)， 能 分 别 由 RR 定义 U 和 WW。 

一 由 等 价 式 (3-5) 和 等 价 式 (3-5) 导 出 的 对 偶 $ Up= eR y) fH WELR AU, 

有 时 寻找 不 依赖 于 可 用 否定 的 适当 连接 词 集合 是 有 用 的 。 这 是 因为 假设 公式 可 写 为 否定 
范式 的 形式 经 常会 很 方便 ， 在 否定 范式 中 ， 所 有 否定 符号 都 作用 于 命题 原子 ( 即 它们 在 语法 
分 析 树 的 时 结 点 附近 ) 。 此 时 ， 对 于 不 含 X 的 片断 ， 以 下 这 些 集合 是 适当 的 ， 而 严格 的 子 集 
并 非 如 此 : {U, R}, [U, W], 1U, C}, IR, Fl。 但 [|R，G} 和 {W，G| 不 是 适当 的 。 注 
意 ,不 能 用 {1U，F| 定 义 GC， 也 不 能 用 |R，G| 或 |W，G| 来 定义 F。 

最 后 我 们 叙述 并 证 明 一 个 关于 U 的 有 用 等 价 。 

定理 3.10 对 所 有 LIL 公式 四 和 沙 ， 等 价 和 Uy 一 (一 步 U( 一 四 人 一 沙 ) )^F 消 成 立 。 

证 明 在 任何 模型 中 取 任 意 路 径 5,25, 一 9 一 …。 

首先 ， 假 设 % EG Uy MY. Hn Bis, Fy 成 立 的 最 小 数 。 这 样 的 数 一 定 存在 ， 因 为 
SE GUY, 那么， 对 每 个 k<n，s, 办。 我 们 立即 有 so。 上 下 小 ， 因 此 ， 余 下 的 就 是 要 证 明 
s FF 一 (一步 U( 一 出 ^ 一 y))， 如 果 将 上 式 展开 ， 它 的 意思 是 : 

(* ) 对 每 i>0, Hs POA, WERT] <i, 满足 $F Yo 

任 取 满足 ,FF 一 四 一步 的 i>0; i>n, MRTTRiHn, FEH s Eyo 

反之 , Rits (Oppa y) Fy RE; 我 们 证 明 s Ep Uw。 因为 so 上 
Fy， 如 前 面 一 样 ， 有 一 个 最 小 的 n。 我 们 证 明 ， 对 任何 i<n， 有 s, Fb. Es Ep, Bon 
最 小 ， 我 们 知道 s, Fy, HAC), FERDI <<, 满足 s 上 ,这 与 4 最 小 相 矛 盾 。 0 


3.3 模型 检测 : 系统 、 工 具 和 性 质 
3.3.1 H: ER 
现在 ， 我 们 看 一 个 用 LTL 来 验证 的 更 大 例子 ， 与 互 斥 (mutual exclusion) 有 关 。 当 并 发 的 进程 
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共享 一 个 资源 (如 磁盘 上 的 文件 或 一 个 数据 库 项 ) 时 ， 有 必要 确保 它们 不 会 同时 访问 这 个 资 
源 。 我 们 并 不 希望 若干 个 进程 同时 编辑 同一 个 文件 。 

因此 ， 我 们 识别 每 个 进程 代码 的 特定 关键 段 (critical sections) ， 并 设法 使 同一 时 间 只 有 
一 个 进程 处 于 关键 段 中 。 这 个 关键 段 应 包含 对 共享 资源 的 所 有 访问 (尽管 为 避免 不 必要 的 排 
斥 发 生 ， 它 应 该 尽 可 能 地 小 ) 。 我 们 面临 的 问题 是 找到 一 个 协议 (protocol) ， 以 确定 在 什么 时 
间 、 哪 个 进程 允许 进入 其 关键 段 。 一 旦 找到 了 我 们 认为 奏效 的 协议 ， 通 过 检测 它 是 否 具有 某 
些 所 期 望 的 性 质 来 验证 这 个 解决 方案 ， 诸 如 以 下 性 质 : 

安全 性 (Safety) : 在 任何 时 刻 ， 只 有 一 个 进程 处 于 关键 段 。 

仅 有 安全 性 还 不 够 ， 因 为 将 所 有 进程 都 永远 排斥 出 关键 段 的 协议 虽然 安全 ， 但 却 没 什么 
用 。 因 此 ， 我 们 还 要 求 : 

活性 (Liveness) : 只 要 任何 进程 请 求 进入 其 关键 段 ， 它 最 终 将 被 准许 进入 。 

无 阻 性 (Non-blocking) : 一 个 进程 总 可 以 请 求 进入 其 关键 段 。 

在 此 基础 上 ， 一 些 相当 粗糙 的 协议 就 可 以 工作 了 ， 这 些 协 议 在 进程 间 进 行 循环 ， 使 每 个 
进程 轮流 进入 其 关键 段 。 自 然 有 些 进程 要 求 访 问 共享 资源 的 次 数 比 其 他 进程 频繁 ， 那 么 ， 应 
该 保证 协议 有 以 下 性 质 : 

非 严 格 顺序 性 ( No strict sequencing): 进程 不 需 按 严格 的 顺序 进入 其 关键 段 。 

第 一 次 建 模 尝试 ”我 们 将 对 两 个 进程 建 模 ， 每 个 进程 处 于 其 非 关 键 状 态 (n”) ， 或 者 试图 进 
入 其 关键 状态 (:) ， 再 或 者 处 于 其 关键 状态 (c) 。 每 个 单独 的 进程 都 按照 循环 ntsc jt 
行 迁移 ， 但 两 个 进程 相互 交错 执行 。 考 虑 由 图 3-7 中 的 迁移 状态 MM 所 给 出 的 协议 。( 如常， 
在 结 点 * 处 写 Pi p,…p。 表示 Pis Pas U, Pn 是 在 s 为 真 的 仅 有 的 原子 命题 。) 两 个 进程 都 从 
其 非 关键 段 开始 (全 局 状态 s。) RE s 是 仅 有 的 初始 状态 ， 用 无 来 源 的 进入 边 标记 。 现 在 ， 
每 个 进程 都 可 能 移 向 其 尝试 进入 的 状态 ， 但 一 次 只 允许 其 中 一 个 发 生 迁 移 (异步 交错 
(asynchronous interleaving) ) 。 在 每 一 步 ， 都 有 一 个 (未 指定 的 ) 调度 程序 决定 哪个 进程 可 以 
运行 。 因 此 ， 存 在 从 s。 到 s, 和 ss 的 迁移 箭头 。 从 % ( 即 进 程 1 尝试 ， 进 程 2 非 关键 ) 还 有 两 
种 情况 可 以 发 生 : 进程 1 再 次 移动 (进入 s,)， 或 者 进程 2 移动 (进入 s) 。 注 意 ， 不 是 每 个 
进程 在 任意 状态 下 都 可 以 移动 。 例 如 ， 进 程 1 在 状态 s 不 能 移动 ， 因 为 直到 进程 2 退出 其 
关键 段 之 前 ， 进 程 1 不 能 进入 其 关键 段 。 





图 3-7 关于 互 斥 建 模 的 第 一 次 尝试 
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为 了 检测 上 述 的 四 个 性 质 ， 先 将 其 描述 为 时 态 逻 辑 公式 。 遗 憾 的 是 ， 它 们 并 不 均 可 由 
LTL 公式 来 表示 。 我 们 来 逐一 考察 。 

安全 性 : 这 个 性 质 可 用 LTL 表示 为 Gm(e^c)。 显 然 , G 一 (cl ^c) 在 初始 状态 是 满 
足 的 (实际 上 在 所 有 状态 下 均 满 足 ) 。 

活性 : 这 个 性 质 也 可 表达 : G(ti 一 F cl)。 然 而 ,， 它 不 为 初始 状态 所 满足 ， 因 为 可 以 找 
到 一 条 从 初始 状态 出 发 的 路 径 ， 沿 着 该 路 径 有 状态 s, ， 在 该 状态 ,4 AK, 但 从 该 状态 开始 
HARB, c 为 假 。 所 说 的 路 径 是 8 一 5 一 5 一 5 一 5 一 5 一 37， 在 该 路 径 上 ，cl 总 为 假 。 

AME: 仅 考 虑 进程 1。 我 们 把 这 个 性 质 表 述 成 : 对 每 个 满足 n, 的 状态 ， 存 在 满足 4 
的 后 继 状态 。 和 遗憾 的 是 ， 关 于 路 径 的 这 个 存在 量词 (“ 存 在 一 个 后 继 ， 满足 …”) 是 不 可 用 
LTL XZH. ETAK CTL 表达 ， 我 们 将 在 下 一 节 讨论 (着 急 的 读者 可 参看 3.4.3 节 )。 

非 严 格 顺序 性 : 我 们 可 以 考虑 将 其 表达 为 : 存在 一 条 路 径 ， 具 有 两 个 满足 ci 的 不 同 状 
态 ， 使 得 在 两 者 之 间 没 有 状态 具有 这 个 性 质 。 然 而 ， 我们 不 能 表达 “存在 一 条 路 径 %， 因 此 ， 
转 而 考虑 这 个 公式 的 补 。 补 公式 指 : 有 终止 的 ci 周期 的 所 有 路 径 在 cs 状态 出 现 之 前 不 可 能 
再 有 cl 状态 。 我 们 将 此 写 为 : C(ci 一 c W(7¢,7¢,We,)). W, 任何 时 候 只 要 进入 cl R 
态 ， 或 者 状况 持续 不 确定 ， 或 者 结束 于 一 个 非 c, 状态 ， 且 在 这 种 情况 下 ， 不 会 再 出 现 cl R 
态 ， 除 非 且 直至 我 们 得 到 一 个 e 状态 。 

这 个 公式 是 假 的 ， 如 路 径 so 一 5 一 s3 一 354 一 35 s,s, AON, Ak, RKP BM 
性 的 原始 条 件 无 需 发 生 一 一 此 论断 为 真 。 

在 进一步 考虑 互 斥 的 例子 之 前 ， 关 于 用 LTL 表达 性 质 的 一 些 评价 是 恰当 的 。 注 意 在 非 
严格 顺序 性 中 ， 代 之 于 表达 其 补 的 性 质 ， 我 们 克服 了 不 能 表达 路 径 存 在 的 问题 ， 当 然 ， 补 是 
对 所 有 路 径 而 言 的 。 然 后 ， 我 们 可 以 实施 检测 ， 并 简单 地 逆转 答案 。 如 果 补 性 质 是 假 的 ， 那 
我 们 断言 性 质 是 真 的 ， 反之 亦 然 。 

上 述 策略 为 什么 在 表达 无 阻 性 时 就 不 能 用 呢 ? 理由 是 : 到 n, 状态 的 所 有 路 径 可 以 由 单 
步 路 径 继续 到 三 状态 。 全 称 量词 和 存在 量词 的 出 现 是 问题 所 在 。 在 非 严格 顺序 性 质 中 只 有 
存在 量词 。 因 此 ， 取 补 性 质 将 其 变 成 一 个 全 称 路 径 量词 ， 可 用 LIL 来 表达 。 但 在 两 种 量词 
交替 出 现 的 场合 ， 取 补 性 质 一 般 没 有 什么 帮助 。 

我 们 回 到 互 斥 的 例子 。 在 对 互 斥 建 模 的 第 一 次 尝试 中 排除 活性 的 原因 是 : 非 确定 性 意味 
着 它 可 能 持续 地 偏好 一 个 进程 甚 于 另 一 个 进程 。 问 题 是 状态 s 不 能 够 区 分 哪个 进程 首先 进 
入 其 尝试 状态 。 我 们 可 以 通过 将 s 分 成 两 个 状态 解决 这 个 问题 。 

第 二 次 建 模 尝 试 图 3-8 中 的 两 个 状态 s 和 ss 都 对 应 于 我 们 第 一 建 模 尝试 中 的 状态 s,。 
它们 都 记录 了 两 个 进程 处 于 其 尝试 状态 , 但 ss 隐 含 地 记录 了 轮 到 进程 1， 而 ss 表示 轮 到 进 
程 2。 注 意 ， 状 态 ss。 和 ss 都 标记 为 t,t, ， 迁 移 系 统 的 定义 并 不 排除 这 种 情况 。 我 们 可 以 考虑 
用 不 是 初始 标识 一 部 分 的 某 些 其 他 的 隐藏 变量 来 区 分 s,， 和 sy 

评注 3. 11 图 3-8 中 的 模型 满足 安全 性 、 活 性 、 无 阻 性 和 非 严格 顺序 性 这 四 个 性 质 。 
(因为 还 不 能 用 时 态 逻 辑 写 出 无 阻 性 ， 我 们 只 能 非 形 式 地 检测 它 。) 

在 第 二 次 建 模 尝试 中 ， 我 们 的 迁移 系统 仍然 有 点 过 于 简单 ， 因 为 我 们 假设 它 在 时 钟 的 每 
次 走动 时 都 移 到 一 个 不 同 的 状态 (没有 到 相同 状态 的 迁移 ) 。 我 们 也 许 希 望 建 模 可 在 若干 时 
钟 时 刻 停留 在 关键 状态 的 进程 ， 但 是 ， 如 果 包 含 从 s Rs, 到 自身 的 箭头 ， 我 们 又 将 与 活性 
相 冲 突 。 在 3. 6. 2 节 考 虑 “公平 性 约束 "时 ， 这 个 问题 将 得 到 解决 。 
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图 3-8 互 斥 建 模 的 第 二 次 尝试 。 现 有 两 个 表示 ti HRA, Hs, Ms, 


3.3.2 NuSMV 模型 检测 器 


到 目前 为 止 ， 本 章 内 容 的 理论 性 很 强 ， 本 节 之 后 的 各 节 也 依然 如 此 。 然 而 ， 关 于 模型 检 
测 令 人 激动 的 事情 之 一 是 : 它 也 是 一 个 实用 的 科目 ， 因为 已 经 有 若干 高 效 的 实现 ， 可 用 来 检 
测 现实 中 的 大 系统 。 本 节 我 们 考察 NuSMV 模型 检测 系统 。NuSMYV 代表 “New Symbolic Model 
Verifier” (新 符号 模型 检测 器 )。NuSMV 是 一 个 开放 源码 产品 ， 支 持 非常 活跃 ， 有 一 个 可 观 
的 用 户 团 体 。 如 何 获得 这 个 工具 的 细节 可 参考 本 章 结 尾 的 文献 注 记 。 

NuSMV( 有 时 简称 SMV) 提供 一 种 描述 一 直 画 成 图 形 的 模型 的 语言 ， 而 且 基 于 这 些 模型 
可 以 直接 检测 LTL( 或 CTL) 公 式 的 有 效 性 。SMYV 以 描述 模型 的 程序 和 一 些 规范 (时 态 逐 辑 公 
式 ) 组 成 的 文本 作为 输入 。 若 规范 成 立 ， 它 产生 输出 “ 真 ”"， 否 则 显示 一 个 迹 ， 表 明 为 什么 关 
于 程序 所 表示 的 模型 该 规范 是 假 的 。 

SMV 程序 由 一 个 或 多 个 模块 构成 。 如 程序 语言 C 或 Java 一 样 ， 其 中 一 个 模块 必须 称 为 
main。 模 块 可 以 声明 变量 并 赋值 。 赋 值 通常 给 出 变量 的 初始 值 initial， 而 其 下 一 个 
next 值 是 关于 变量 当前 值 的 表达 式 。 这 个 表达 式 可 以 是 不 确定 的 ( 记 作 一 些 带 括号 的 表达 
A, 或 根本 不 赋值 )。 不 确定 性 用 于 建 模 环境 和 抽象 。 

将 由 一 个 程序 和 规范 构成 的 下 列 代码 输入 给 SMV: 


MODULE main 
VAR 
request : boolean; 
status : {ready,busy}; 
ASSIGN 
init(status) := ready; 
next(status) := case 
request : busy; 
1 : fready, busy}; 
esac; 
LTLSPEC 
G(request -> F status=busy) 


程序 有 两 个 变量 ,布尔 boolean 型 的 request 和 枚 举 型 |ready, busy} HJ status: 0 
代表 “ 假 "，1 代表 “ 真 ”。 变 量 request 的 初始 值 和 随后 值 在 这 个 程序 中 是 不 确定 的 。 这 保 
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守 地 建 模 由 外 界 环境 决定 的 值 。 对 request 的 这 种 规范 蕴涵 变量 status 的 值 是 部 分 确定 
的 。 其 初 值 是 ready; 当 request 为 真 时 变 成 busy。 如 果 request 为 假 ，status 的 下 一 
个 值 是 不 确定 的 。 , 

TEE, case 1: 指示 一 种 默认 情形 ， 该 case 陈述 自 顶 向 下 赋值 :如 果 在 :左边 的 若干 表达 
式 为 真 ， 那 么 对 应 于 第 一 个 、 最 顶端 的 真 表达 式 的 命令 将 被 执行 。 因 此 ， 上 述 程序 指明 
图 3-9 中 所 示 的 迁移 系统 有 四 个 状态 ， 每 个 状态 对 应 于 两 个 二 元 变量 的 可 能 值 。 注 意 ， 我 们 
将 status = busy 简写 成 “busy”， 而 将 “request 为 真 ” 简 写 为 “req”。 

习惯 SMV 的 语法 以 及 它 的 含义 需要 花 些 时 间 。 因 为 变量 request 是 作为 这 个 模型 中 的 
真正 环境 起 作用 ， 因 此 程序 和 迁移 状态 都 是 不 确定 的 ; 即 “ 下 一 个 状态 ”不 是 唯一 定义 的 。 
任何 基于 status 行为 的 状态 迁移 均 成 对 出 现 : 到 达 一 个 使 request 分 别 为 假 或 真 的 后 继 
状态 。 例 如 ， 状 态 “ 一 req，busy” 可 以 移 向 四 个 状态 ( 它 自身 和 其 他 三 个 )。 

LTL 规范 由 关键 词 LTLSPEC 引 人 ， 而 这 不 过 是 LTL 公式 。 注 意 ，SMYV 分 别 用 &，|， 
-> 和! 来 表示 ^，v ， 一 和 一 ， 因 为 它们 在 标准 键盘 上 是 可 用 的 。 我 们 可 以 容易 地 验证 模块 
main 的 规范 对 图 3-9 中 的 模型 成 立 。 





图 3-9 对 应 于 正文 中 SMV 程序 的 模型 


SMV 中 的 模块 ”为 辅助 可 读 性 和 验证 反应 性 质 ，SMYV 支持 将 一 个 系统 描述 分 解 成 若干 
模块 。 当 一 个 变量 声明 以 模块 名 为 类 型 时 ， 模 块 实例 化 。 这 定义 了 一 组 变量 ， 对 模块 描述 中 
的 每 个 声明 对 应 一 个 。 在 下 面 的 随 SMV 发 布 的 例子 中 ， 由 三 个 单一 位 计数 器 描述 的 从 000 
到 111 重复 记 数 的 记 数 器 。 模 块 counter_ cell 用 名 字 bitO, biti 和 bit2 实例 化 三 
次 。 计 数 器 模块 有 一 个 形式 参数 carry_ in, BE bito 中 的 实际 值 为 1; 而 在 实例 biti 
HA bitO.carry_ out。 因 此 ,模块 biti 的 carry_ in 是 模块 bit0 的 carry_ out, 
注意 ,在 m. v 中 我 们 用 句点 . 访问 模块 m 中 的 变量 v。 这 个 记号 也 用 于 Alloy( 见 第 2 章 ) 和 
大 量程 序 语 言 用 于 访问 记录 结构 中 的 字段 或 对 象 的 方法 。 关 键 词 DEFINE 用 于 将 表达 式 
Value & carry_ in 赋值 给 符号 carry_ out (这 种 定义 仅仅 是 参考 特定 表达 式 当 前 值 的 
一 种 方式 ) 


MODULE main 


bitO : counter_cell(1); 

bit1 : counter_cell(bitO.carry_out); 

bit2 : counter_cell(bit1.carry_out); 
LTLSPEC 

G F bit2.carry_out 
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.MODULE counter_cell(carry_in) 
VAR 

value : boolean; 
ASSIGN 


init(value) := 0; 

next(value) := (value + carry_in) mod 2; 
DEFINE 

carry_out := value & carry_in; 


DEFINE 语句 的 效果 可 通过 声明 一 个 新 变量 并 赋值 来 达到 : 
VAR 

carry_out : boolean; 
ASSIGN 

carry_out := value & carry_in; 


注意 ， 在 这 个 赋值 中 ， 变 量 的 当前 值 已 赋值 。 已 定义 的 符号 通常 优先 于 变量 ， 因 为 它们 声明 
新 变量 不 会 增加 状态 空间 。 然 而 ， 它 们 不 能 被 非 确定 地 赋值 ， 因 为 它们 仅 参 照 另 一 个 表 
达 式 。 

同步 合成 与 异步 合成 ”在 默认 情况 下 ，SMYV 中 的 模块 是 同步 合成 的 。 这 意味 着 存在 一 
个 全 局 时 钟 ， 每 滴答 一 下 ， 每 个 模块 并 行 地 执行 。 通 过 使 用 process 关键 词 ， 也 可 以 异步 
合成 模块 。 此 时 ， 它 们 以 不 同 的 “速度 "任意 地 交错 运行 。 时 钟 每 滴答 一 下 ， 一 个 模块 被 不 
确定 地 选择 并 执行 一 个 周期 。 对 于 描述 通信 协议 、 异 步 电路 和 其 他 动作 与 全 局 时 钟 不 同步 的 
系统 ， 异 步 交 错 合成 是 有 用 的 。 

上 面 的 位 计数 器 是 同步 的 ， 而 下 面 的 互 斥 和 交错 位 协议 的 例子 是 异步 的 。 


3.3.3 运行 NUSMV 


NuSMV 的 正常 使 用 是 从 Unix shell 环境 或 Windows 中 命令 提示 符 以 批 处 理 模 式 运行 。 命 
Nis 
~ f nsw counter3.smv 
将 分 析 文 件 counter3. smv 中 的 代码 ， 并 报告 它 所 含 的 规范 。 也 可 以 交互 地 运行 NuSMV。 
此 时 ， 命 令 行 

NuSMV -int counter3.smv 
进入 NuSMV 的 命令 行 解释 程序 。 那 里 有 各 种 可 用 的 命令 ,允许 编 译 描述 、 运 行规 范 检测 ， 
以 及 审查 部 分 结果 并 设置 各 种 参数 。 更 多 细节 参看 NuSMV 用 户 手册 。 

NuSMV 也 支持 有 界 模 型 检测 (bounded model checking) ， 通 过 命令 选项 -bmc 来 调用 。 有 
界 模型 检测 按 大 小 顺序 寻找 反例 ， 从 长 度 1 的 反例 开始 ， 然 后 是 2 ， 等 等 ， 直 到 一 个 给 定 的 
阀 值 (默认 为 10)。 注 意 ， 有 界 模型 检测 是 不 完备 的 ， 找 不 到 反例 并 不 意味 着 没有 ， 只 是 没 
有 至 多 是 阀 值 的 长 度 。 因 为 相关 的 原因 ， 在 Alloy 和 其 约束 性 分 析 器 中 这 种 不 完备 特征 也 
存在 。 于 是 ， 尽 管 可 依赖 否定 答案 (如 果 NusMV 找到 了 一 个 反例 ， 那 么 它 就 是 有 效 的 )， 而 
肯定 的 则 不 行 。 有 界 模型 检测 的 参考 文献 可 在 3. 9 节 的 文献 注 记 中 找到 。 后 面 ， 我 们 将 使 用 
有 界 模型 检测 来 证 明 一 个 调度 程序 的 最 优 性 。 


3.3.4 重 温 互 斥 


图 3-10 给 出 了 一 个 互 斥 协议 的 SMV 代码 。 这 个 代码 由 两 个 模块 构成 ， 分 别 是 main 和 
pre, 模块 main 有 变量 turn， 如 果 两 个 进程 同时 试图 进入 其 关键 段 ， 该 变量 用 来 决定 轮 
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MODULE main 
VAR 
pri: process pre(pr2.st, turn, 0); 
pr2: process prc(pri.st, turn, 1); 


turn: boolean; 


ASSIGN 
init(turn) := 0; 
-- safety 
LTLSPEC G!((pri.st = c) & (pr2.st = c)) 
~- liveness 


LTLSPEC G((pri.st = t) -> F (pri.st = c)) 
LTLSPEC G((pr2.st = t) -> F (pr2.st = c)) 
~- ‘negation’ of strict sequencing (desired to be false) 
LTLSPEC G(pri.st=c -> ( G pri.st=c | (pri.st=c U 
Cpri.st=c & G !pri.st=c | ((ipri.st=c) U pr2.st=c))))) 


MODULE prc(other-st, turn, myturn) 


VAR 
st: {n, t, c}; 
ASSIGN 
init(st) := n; 
next(st) := 
case 
(st = n) : {t;n}; 
(st = t) & (other-st = n) : c; 
(st = t) & (other-st = t) & (turn = myturn): c; 
(st = c) : {c.n}; 
1 : st; 
esac; 
next (turn) := 
case 


turn = myturn & st = c : !turn; 
1 : turn; 
esac; 
FAIRNESS running 
FAIRNESS !(st = c) 


图 3-10 互 斥 的 SMV 代码 。 由 于 SMV 不 支持 W， 必 须 使 用 等 价 式 (3-3) 
将 非 严格 顺序 公式 写成 一 个 等 价 、 但 更 长 的 涉及 UMAR 











到 谁 进 入 (回忆 3.3.1 节 中 关于 状态 s, Ms, 的 讨论 ) 。 

模块 main 还 有 prc 的 两 个 实例 。 在 每 个 实例 ，st 是 一 个 进程 的 状态 (说 明 它 是 否 处 
于 关键 段 或 处 于 尝试 状态 ) ， 而 other-st 是 其 他 进程 的 状态 (注意 在 main 的 第 三 行 和 第 
四 行 ， 它 是 如 何 作为 一 个 参数 传递 的 ) 。 

st 的 值 按 前 一 节 所 描述 的 方式 演化 : KEE nm, CMS En MEW, YER 
时 ， 如 果 另 一 个 是 nm， 它 将 直接 到 。。 如 果 另 一 个 也 是 上:， 在 进入 ec 之前， 它 将 检查 轮 次 。 因 
此 ， 当 它 是 c 时， 可 以 移 回 n。prc 的 每 个 实例 在 到 达 关键 段 后 ， 将 把 下 一 次 进入 关键 段 的 
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机 会 留 给 另 一 个 实例 。 

SMV 的 一 个 重要 特征 是 可 以 把 它 的 搜索 树 限制 到 执行 路 径 ， 沿 着 这 条 路 径 ， 关 于 状态 
的 任意 布尔 公式 6 无限 多 次 为 真 。 由 于 这 经 常用 于 建 模 对 资源 的 公平 访问 ， 所 以 称 为 公平 
性 约束 (fairness constraints) ， 并 且 由 关键 词 FAIRNESS 引 人 。 因 此 FAIRNESS 6 的 出 现 意味 
着 在 检测 规范 y t, SMV 将 忽视 p 不 被 无 限 多 次 满足 的 任何 路 径 。 

在 模块 prc 中 ， 将 模型 检测 限制 在 st 无 限 多 次 不 等 于 c 的 计算 路 径 上 。 这 是 因为 代码 
允许 状态 随意 停留 在 其 关键 段 。 因 此 存在 另 一 个 使 活性 不 满足 的 机 会 ， 如果 进程 2 永远 停 
留 在 其 关键 段 上 ， 则 进程 1 将 永远 不 能 进入 。 同 样 ， 我 们 不 应 该 考虑 这 类 冲突 ， 因 为 允许 
一 个 进程 永远 处 于 关键 段 显然 是 不 公平 的 。 我 们 将 寻找 规范 的 更 微妙 的 冲突 (如 果 有 的 话 ) 。 
为 避免 上 述 问题 ， 我 们 规定 了 公平 性 约束 ! (st =c)。 

如 果 所 考虑 的 模块 用 关键 字 process 进行 声明 ， 那 么 像 以 前 解释 的 那样 ， 在 每 个 时 间 
点 上 ，SMYV 将 非 确 定性 地 决定 是 否 选 择 执行 。 我 们 可 能 希望 忽略 这 样 一 些 路 径 ， 其 上 的 一 
个 模块 迫切 需要 处 理 器 时 间 。 保 留 字 running 可 用 在 公平 性 约束 中 代替 一 个 公式 ; 
FAIRNESS running 将 关注 限制 于 执行 这 样 的 路 径 ， 沿 着 这 条 路 径 出 现 的 模块 被 选择 执行 
无 限 多 次 。 . 

É pro 中 ,我 们 将 限制 于 这 样 的 路 径 ， 因 为 没有 这 种 限制 ， 如 果 pre 的 实例 从 未 被 选 
择 执行 ， 就 容易 与 活性 约束 相 冲 突 。 我 们 假定 调度 程序 是 公平 的 ; GAB FAIRNESS 
语句 来 编码 。 回 到 关于 公平 性 的 问题 ， 我 们 将 在 下 一 节 回 到 模型 检测 算法 如 何 与 之 协调 的 
问题 。 

请 在 NuSMV 中 运行 这 个 程序 ， 看 一 下 它 的 哪些 规范 成 立 。 

对 应 于 这 个 程序 的 迁移 系统 如 图 3-11 所 示 。 每 个 状态 显示 变量 的 值 ; 例如 ，etl 是 进程 
1 和 进程 2 分 别处 于 关键 段 和 尝试 段 、 而 且 tum = 1 的 状态 。 迁 移 上 的 标记 显示 哪个 进程 被 
选择 执行 。 一 般 ， 每 个 状态 有 若干 个 迁移 ， 某 些 迁 移 下 进程 1 移动 ， 而 另外 的 迁移 下 进程 2 





图 3-11 对 应 图 3-10 中 SMV 代码 的 迁移 系统 。 迁 移 上 的 标记 表示 移动 的 进程 。 
标记 1，2 表示 两 个 进程 都 可 以 移动 
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这 个 模型 与 前 面 在 图 3-8 中 给 出 的 互 斥 模型 有 点 不 同 ， 原 因 有 两 个 : 

。 由 于 在 图 3-8 中 ,为 了 区 分 状态 s, 和 s。 ， 明 确 地 引进 布尔 变量 turn, 现在 则 区 分 了 以 前 是 恒 同 的 
特定 状态 (例如 ，ct0 和 etl) 。 然 而 ， 如 果 仅 考虑 由 其 发 出 的 迁移 ， 这 些 状 态 是 不 可 区 分 的 。 因 此 ， 
它们 满足 相同 的 不 提 及 变量 turn 的 LTL 公式 。 那 些 状 态 只 能 通过 出 现 方式 来 区 分 。 

我 们 消除 了 图 3-8 中 模型 过 分 简化 的 问题 。 记 得 我 们 曾 假定 时 钟 每 滴答 一 下 系统 都 会 迁移 到 一 个 不 
同 状 态 ( 不 存在 状态 到 其 自身 的 迁移 ) 。 在 图 3-11 中 ， 人 允许 每 个 状态 到 其 自身 的 迁移 ， 表示 一 个 进 
程 被 选择 执行 ， 并 做 一 些 私有 的 计算 ， 但 不 移 进 移出 其 关键 段 。 当 然 ， 这 样 做 会 引进 这 样 一些 路 
径 ， 其 上 的 一 个 进程 陷 在 其 关键 段 上 ， 因 而 需要 求助 于 公平 性 约束 来 消除 这 样 的 路 径 。 


3.3.5 摆渡 者 难题 


你 可 能 记得 摆渡 者 难题 : 一 个 船 夫 、 山 羊 、 卷 心 菜 和 狼 都 在 河 的 一 边 。 船 夫 至 多 可 搭载 
一 位 乘客 过 河 。 如 果 在 河岸 的 同一 侧 ， 而 船 夫 在 过 河 或 者 停留 在 河岸 的 另 一 侧 ， 下 面 两 者 之 
间 有 行为 冲突 : 

L 山羊 和 卷心菜 ; 

2. 山羊 和 狼 

船 夫 能 否 在 不 发 生 任 何冲 突 情 况 下 ,将 所 有 物品 运送 到 河 对 岸 ? 这 是 一 个 规划 问题 
(planning problem) ， 但 可 由 模型 检测 来 解决 。 我 们 描述 一 个 迁移 系统 ， 其 中 状态 代表 何 种 
物品 在 河 的 哪 边 。 然 后 寻求 从 初始 状态 出 发 ， 目 标 状 态 是 否 可 达 : 即 是 否 存在 一 条 从 初始 状 
态 出 发 的 路 径 ， 该 路 径 上 有 一 个 状态 是 所 有 货物 都 在 河岸 的 另 一 侧 ， 而 且 在 向 这 个 状态 迁移 
过 程 中 ， 货 物 不 会 处 于 不 安全 的 冲突 场合 ? 

我 们 将 所 有 可 能 的 行为 (包括 导致 冲突 的 行为 ) 建 模 为 一 个 NuSMV 程序 (图 3-12) 。 每 个 
货物 的 位 置 用 布尔 变量 来 建 模 : 0 代表 物品 在 初始 河岸 ，1 代表 在 目标 河岸 。 因 此 ， 
ferryman=0 意味 着 船 夫 在 初始 河岸 ，ferryman =1 表示 他 在 上 自 标 河岸 ， 关 于 变量 
goat ，cabbage 和 wolf 的 情形 是 类 似 的 。 

变量 carry 所 到 的 值 指示 船 夫 所 搭载 的 是 山羊 、 卷 心 菜 、 狼 ， 或 者 什么 也 没 载 。next 
(carry ) 的 定义 进行 如 下 。 它 是 非 确 定 的 ， 但 其 非 确定 性 选择 的 取 值 集合 由 船 夫 、 山 羊 等 
取 值 确定 ， 且 总 包含 0。 如 果 ferryman = goat ( 即 它们 在 同 侧 河 岸 )， WA g 是 next 
(carry ) 取 值 集合 中 的 一 员 。 卷 心 菜 和 狼 的 情形 是 类 似 的 。 于 是 ， 若 ferryman = goat = 
wolf#cabbage, WRARARIg, w, 0}, MA ferryman 的 下 一 个 值 是 非 确定 的 ; 他 可 
以 选择 过 河 或 不 过 河 。 但 是 goat ，cabbage 和 wolf 的 下 一 个 值 是 确定 的 ， 因 为 它们 是 否 
被 搭载 由 船 夫 的 选择 决定 ， 通 过 对 carry 的 非 确 定性 赋值 来 表示 ， 这 些 值 遵循 相同 的 模式 。 

注意 布尔 卫 式 如 何在 下 一 状态 参考 状态 位 。SMYV 编译 器 作 一 个 相关 性 分 析 ， 并 对 下 -- 
个 值 拒绝 循环 依赖 性 。( 可 靠 性 分 析 是 相当 悲观 的 ， 有 时 ， 即 使 可 解 ，NuSMYV 也 会 抱怨 循环 
依赖 性 。 原 始 的 CMU-SMV 在 这 方面 更 加 灵活 一 些 。) 

运行 NuUSMV 我 们 寻找 一 条 满足 p U y 的 路 径 ， 其 中 断定 最 终 目标 状态 ， 而 表示 
安全 性 条 件 ( 如 果 山 羊 和 卷心菜 或 狼 在 一 起 ， 那 么 摆渡 者 也 在 ， 以 阻止 麻烦 的 行为 ) 。 于 是 ， 
断定 所 有 路 径 满足 了-($ U wy)， 即 : 没有 路 径 满足 p U y。 我 们 希望 不 是 真 的 ， 并 且 NuSMV 
会 给 出 一 条 满足 p Uy 的 示例 路 径 。 事 实 上 ， 运 行 NuSMV 给 出 了 一 条 如 图 3- 13 所 示 的 路 
径 ， 它 表示 了 此 难题 的 一 个 解 。 

生成 路 径 的 开始 代表 了 这 个 问题 的 通常 解 : 摆渡 者 先 将 山羊 带 走 ， 然后 回来 取 卷 心 菜 。 
为 了 避免 将 山羊 和 卷心菜 留 在 一 起 ， 他 又 把 山羊 带 回来 ， 然 后 带 上 狼 。 现在 狼 和 卷心菜 已 在 
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MODULE main 


VAR 

ferryman : boolean; 

goat : boolean; 

cabbage : boolean; 

wolf : boolean; 

carry : {g,c,w, 0}; 
ASSIGN 

init(ferryman) := 0; init(goat) 
init(cabbage) := 0; init(wolf) 
init (carry) := 0; 





next (ferryman) := 0,1; 


next(carry) := case 
ferryman=goat : g; 
1 : 0; 
esac union 
case 
ferryman=cabbage : c; 
1 : 0; 
esac union 
case 
ferryman=wolf : w; 
1 : 0; 
esac union 0; 





next(goat) := case 
ferryman=goat & next(carry)=g : next (ferryman) ; 
1 : goat; 

esac; 

next(cabbage) := case 
ferryman=cabbage & next(carry)=c : next (ferryman) ; 
1 : cabbage; 

esac; 

next (wolf) := case 
ferryman=wolf & next(carry)=w : next (ferryman) ; 
1 : wolf; 

esac; 








LTLSPEC !(( (goat=cabbage | goat=wolf) -> goat=ferryman) 
U (cabbage & goat & wolf & ferryman)) 





图 3-12 摆渡 者 规划 问题 的 NuSMV 代码 


目标 河岸 了 ， 然 后 摆渡 者 再 回来 把 山羊 接 过 来 。 这 把 我 们 带 到 状态 1. 9， 在 该 状态 下 ， 摆 渡 
者 完成 了 任务 ,可 以 好 好 休息 一 下 了 。 但 路 径 仍 在 继续 。 状 态 1. 10 到 1. 15 表明 他 把 货物 又 
运 到 了 初始 河岸 ; 首先 是 卷心菜 ， 然 后 是 狼 ， 再 后 是 羊 。 遗 憾 的 是 ， 看 起 来 摆渡 者 直到 状态 
1.9 的 聪明 计划 被 搞 磺 了， 因为 羊 在 状态 1. 11 WO TEBE. 

BEHET? 实际 上 ,什么 错 都 没有 。NuSMYV 给 出 一 条 无 限 路 径 ， 这 条 路 径 围 绕 着 所 
示 的 15 个 状态 循环 。 沿 着 这 条 无 限 路 径 ， 摆 渡 者 重复 地 带 着 它 的 货物 (安全 地 ) 过 河 ， 然 后 
再 (不 安全 地 ) 回 来 。 这 条 路 径 确实 满足 规范 6 U y， 它 断言 了 向 前 的 旅程 的 安全 性 ， 但 对 其 
之 后 发 生 什 么 却 没有 任何 说 明 。 换 句 话说， 该 路 径 是 正确 的 ; CRE pU ble RAR 
态 8)。 沿 这 条 路 径 以 后 发 生 什么 ， 与 由 口 几 没 有 关系 。 
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acws-0116% nusmv ferryman.smv 

*** This is NuSMV 2.1.2 (compiled 2002-11-22 12:00:00) 

*** For more information of NuSMV see <http://nusmv.irst.itc.it> 

*** or email to <nusmv-users@irst.itc.it>. 

*** Please report bugs to <nusmv-users@irst.itc.it>. 

~~ specification !(((goat = cabbage | goat = wolf) -> goat = ferryman) 
U (({cabbage & goat) & wolf) & ferryman)) is false 

-- as demonstrated by the following execution sequence 

~~ loop starts here -- 








-> State 1.1 <- 
ferryman = 0 
goat = 0 
cabbage = 0 
wolf = 0 
carry = 0 

-> State 1.2 <- 
ferryman = 1 


-> State 1.8 <- 
ferryman = 1 
goat = 1 
carry = g 

-> State 1.9 <- 

-> State 1.10 <~ 
ferryman = 0 








goat = 1 cabbage = 0 
carry = g carry = ç 

-> State 1.3 <- -> State 1.11 <- 
ferryman = 0 ferryman = 1 
carry = 0 carry = 0 

-> State 1.4 <- -> State 1.12 <- 
ferryman = 1 ferryman = 0 
cabbage = 1 wolf = 0 
carry = c carry = w 

-> State 1.5 <- -> State 1.13 <- 
ferryman = 0 ferryman = 1 
goat = 0 carry = 0 
carry = g -> State 1.14 <- 

-> State 1.6 <- ferryman = 0 
ferryman = 1 goat = 0 
wolf = 1 carry = g 
carry = w -> State 1.15 <- 

-> State 1.7 <- carry = 0 
ferryman = 0 
carry = 0 j 





图 3-13 ”摆渡 者 难题 的 一 个 求解 路 径 。 它 长 的 没有 必要 。 使 用 有 界 模型 检测 可 将 其 加 细 为 最 优 解 


调用 有 办 模型 检测 将 产生 与 该 性 质 冲突 的 最 短 可 能 路 径 。 此 时 ， 它 是 所 示 路 径 的 状态 
1.1 到 1.8。 它 是 我 们 的 规划 问题 的 最 短 、 最 优 解 ， 因 为 模型 检测 NusMV -bme -bmc 
length 7 ferryman. smv 表明 在 该 模型 中 ，LTL 公式 成 立 ， 这 意味 着 不 可 能 有 少 于 7 个 迁 
移 的 解 。 

人 们 也 许 希望 验证 是 否 存在 涉及 山羊 的 三 次 往返 的 解 。 这 可 以 通过 修改 LTL 公式 来 实 
现 。 现 在 我 们 不 去 寻找 满足 9 Uy 的 路 径 ， 代 之 以 寻找 满足 (4 Up) G(goat-*G goat) 
的 路 径 ， 这 里 由 等 于 (goat = cabbage v goat = wolf ) 一 goat = ferryman, y # F 
cabbage ^ goat ^ wolf ^ ferryman。 公式 的 最 后 一 位 说 明 : 一 旦 山羊 过 了 河 ， 他 将 继 
续 保持 过 河 ; 和 否则， 山羊 将 至 少 三 次 往返 。NuSMV 验证 了 这 个 公式 的 否定 是 真 的 ， 从 而 确 
认 了 没有 这 样 的 解 。 


3.3.6 交错 位 协议 


交错 位 协议 (The Alternating Bit Protocol, ABP) 是 一 个 关于 沿 “ 失 真 线路 ”传输 消息 的 协 
议 ， 这 种 线路 可 能 丢失 或 复制 消息 。 失 要 线路 不 丢失 无 限 多 消息 ， 该 协议 可 以 确保 发 送 者 和 
接收 者 之 间 的 消息 传输 获得 成 功 。( 我 们 允许 线路 丢失 或 复制 消息 ， 但 却 不 能 毁坏 消息 ， 没 
有 办 法 保证 沿 一 条 可 能 毁坏 消息 的 线路 成 功 地 传输 。) 
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ABP 工作 如 下 。 有 四 个 实体 或 代理 : 发 送 方 、 接 收 方 、 消 息 信道 和 确认 信道 。 发 送 方 
将 消息 的 第 一 部 分 ， 连 同 “ 控 制 " 位 0 一 起 发 送 。 如 果 接 收 方 收 到 了 带 有 控制 位 0 的 信息 ， 
它 通过 确认 信道 发 送 0。 发 送 方 收 到 这 个 确认 后 ， 它 发 送 下 一 个 数据 包 ， 连 同 控制 位 1。 如 
果 接 收 方 收 到 这 条 消息 ， 它 通过 确认 信道 发 送 1 以 示 确 认 。 通 过 交错 控制 位 ， 接 收 方 和 发 送 
方 可 以 防止 消息 的 重复 和 丢失 ( 即 它们 忽略 含有 非 预期 控制 位 的 消息 ) 。 

如 果 发 送 方 没有 得 到 预期 的 确认 ， 它 继续 重 发 送 那 条 消息 ， 直 到 确认 到 达 。 如 果 接 收 方 
没有 收 到 带 有 预期 控制 位 的 消息 ， 它 将 继续 重 发 先前 的 确认 。 

对 于 ABP 来 说 ， 公 平 性 也 是 重要 的 。 这 是 因为 ,虽然 我 们 想 要 建 模 信 道 可 能 丢失 消息 
这 个 事实 ， 我 们 仍 希 望 假设 ， 如 果 足 够 多 次 地 发 送 一 条 消息 ， 最 终 它 将 到 达 。 换 句 话说 ， 信 
道 不 能 丢失 无 限 消息 序列 。 如 果 我 们 不 做 这 个 假设 ,那么 信道 可 能 丢失 所 有 消息 ， 这 样 的 
话 ，ABP 不 会 起 作用 。 

我 们 在 SMV 的 具体 框架 中 看 这 一 点 。 我 们 可 以 假设 待 发 送 的 文本 划分 成 单位 的 消息 ， 
顺序 地 发 送 。 变 量 messagel 是 正在 发 送 的 消息 的 当前 位 ， 而 message2 是 控制 位 。 模 块 
sender 的 定义 在 图 3-14 中 给 出 。 这 个 模块 将 大 多 数 时 间 都 花费 在 st =sending E, RY < 
收 到 对 应 于 刚刚 发 出 消息 的 控制 位 的 确认 信息 时 ， 它 才 短 暂 地 回 到 st = sent, BH 
messagel 和 message2 分 别 代表 待 发 送 的 实际 数据 和 控制 位 。 传 送 成 功 时 ， 该 模块 得 到 
一 个 要 发 送 的 新 消息 并 返回 st = sending。 新 的 messagel 是 非 确定 性 得 到 的 ( 即 由 环境 
中 得 到 ) ; message2 的 值 交错 地 改变 。 我 们 加 上 FAIRNESS running， 即 发 送 方 必须 被 选 
择 无 限 多 次 运行 。LTLSPEC 测试 我 们 总 能 成 功 地 发 送 当前 消息 。 在 图 3-15 中 ， 用 类 似 的 方 
式 对 模块 receiver 进行 编程 。 

MODULE sender (ack) 
VAR 
st : {sending,sent}; 
messagel : boolean; 
message2 : boolean; 
ASSIGN 
init(st) := sending; 
next(st) := case 
ack = message2 & !(st=sent) : sent; 
1 : sending; 
next (message) .= 
wet = sent : {0,1}; 
1 : message; 


next (message2) := 
case 





st = sent : !message2; 
1 : message2; 
esac; 
FAIRNESS running 
LTLSPEC G F st=sent 











图 3-14 JH SMV 编写 的 ABP 发 送 方 
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MODULE receiver(messagel ,message2) | 
VAR 
st : {receiving, received}; 
ack : boolean; 
expected : boolean; 
ASSIGN 
init(st) := receiving; 
next(st) := case 
message2=expected & !(st=received) : received; 
1 : receiving; 
esac; 
next(ack) := 
case 
st = received : message2; 
1 : ack; 
esac; 
next (expected) := 
case 
st = received : !expected; 
i : expected; 








esac; 
FAIRNESS running 


LTLSPEC G F st=received 


Æ 3-15 JH SMV 编写 的 ABP 接收 方 





我 们 还 需要 描述 两 个 信道 ， 如 图 3-16。 确 认 信 道 是 下 面 的 一 位 信道 one-bit-chan 的 
实例 。 它 的 损耗 特征 由 对 forget 的 赋值 来 说 明 。input 值 应 传送 给 output ， 除 非 
forget 为 真 。 用 于 发 送 消息 的 双 位 信道 two-bit-chan 是 类 似 的 。 非 确定 变量 forget 
仍然 用 来 确定 当前 位 是 否 委 失 。 消 息 的 两 个 部 分 都 成 功 发 送 ， 或 者 两 个 都 不 成 功 (假设 信道 
不 毁坏 信息 ) 。 

信道 有 公平 性 约束 ， 用 来 建 模 这 样 的 事实 尽管 信道 可 以 丢失 消息 ， 但 我 们 假设 可 以 无 
限 次 正确 地 发 送 消息 。( 如 果 不 是 这 种 情况 ， 那 么 我 们 就 会 找到 一 个 与 活性 冲突 的 无 趣 实 
例 ， 例 如 ， 沿 着 一 条 路 径 ， 从 菜 个 时 刻 向 前 发 送 的 消息 都 丢失 。) 

有 趣 的 是 注意 到 公平 性 约束 “无 限 次 ! forget ”不 足以 证 明 期 望 的 性 质 ， 尽 管 它 迫 使 信 
道 无 限 次 发 送 消息 ， 却 不 能 阻止 它 ( 比方 说 ) 丢失 所 有 的 0 位 而 传送 所 有 1 位 。 这 就 是 为 什 
么 使 用 更 强 的 公平 性 约束 的 原因 。 一 些 系统 允许 形 如 “无 限 次 p 蕴涵 无 限 次 o” 的 公平 性 约 
束 ， 这 种 形式 在 此 会 更 满意 些 ， 但 SMV 是 不 允许 的 。 

最 后 ， 我 们 用 模块 main 将 所 有 这 些 联结 在 一 起 (图 3-17) 。 它 的 作用 是 将 系统 的 成 分 
联结 起 来 ， 并 给 其 参数 赋 以 初 值 。 因 为 第 一 个 控制 位 是 0， 我们 也 将 接收 方 的 值 初始 化 为 0。 
接收 方 应 以 发 送 1 作为 确认 信息 开始 ， 因 此 在 发 生 任 何事 情 之 前 ，sender 不 会 把 最 先 接收 
到 的 消息 作为 确认 消息 。 同 理 ， 信 道 的 输出 初始 化 为 1。 

关于 ABP 的 规范 。 我 们 的 SMV 程序 满足 以 下 规范 : 

安全 性 : 如 果 消 息 位 1 已 发 送 并 返回 正确 的 确认 ， 则 接收 方 实际 接收 到 一 个 1， 


G (S.st =sent & S.messagel =1 -> msg_ chan.outputl =1) 


活性 : 消息 最 终 发 送 成 功 。 于 是 ， 对 任意 状态 ， 必 然 存在 一 个 当前 消息 已 经 通过 的 未 来 
状态 。 在 模块 sender 中 ,我们 将 其 规范 为 GF st = sent。( 在 主 模 块 中 ， 这 个 规范 可 以 
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MODULE one~bit-chan(input) 
VAR 
output : boolean; 
forget : boolean; 


ASSIGN 
next(output) := case 
forget : output ; 
1: input ; 
esac; 


FAIRNESS running 
FAIRNESS input & !forget 
FAIRNESS !input & !forget 


MODULE two-bit-chan(input1, input2) 
VAR 

forget : boolean; 

outputi : boolean; 

output2 : boolean; 


ASSIGN 
next (output1) := case 
forget : outputl; 
1: input1; 
esac; 
next (output2) := case 
forget : output2; 
1: input2; 
esac; 


FAIRNESS running 

FAIRNESS inputi & !forget 
FAIRNESS !inputi & !forget 
FAIRNESS input2 & ! forget 
FAIRNESS !input2 & !forget 








| 
图 3-16 用 SMV 编写 的 两 个 ABP 信道 的 两 个 模块 








MODULE main 
VAR 
8 : process sender(ack_chan.output); 
r : process receiver (msg_chan.outputi,msg_chan.output2) ; 
msg_chan : process two-bit-chan(s.message1,s.message2) ; 
ack_chan : process one-bit-chan(r.ack) ; 
ASSIGN 
init (s.message2) 0; 
init (r.expected) 0; 
init (r.ack) := 4; 
init (msg_chan.output2) := 1; 
init(ack_chan.output) := 1; 


LTLSPEC G (s.st=sent & s.message1=1 -> msg_chan.outputi=1) 








图 3-17 ABP 主 模 块 


等 价 地 写作 GF S. st = sent。) 
类 似 地 ， 确 认 信 息 最 终 发 送 成 功 。 在 模块 receiver 中 ,我 们 写 G F st =received。 
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3.4 分 支 时 间 逻 辑 


在 前 面 各 节 中 对 LTL RENSE) 的 分 析 中 ， 我 们 注意 到 LTL 公式 是 在 路 径 上 赋值 
的 。 我 们 定义 系统 的 一 个 状态 满足 一 个 LTL 公式 ， 如 果 由 给 定 状 态 出 发 的 所 有 路 径 都 满足 
它 。 于 是 ，LTL 隐 含 着 对 所 有 路 径 做 全 称 量词 限定 。 因 此 ， 断 言 一 条 路 径 存 在 的 性 质 不 能 用 
LTL 表达 。 通 过 考虑 问题 中 性 质 的 否定 并 相应 地 解释 结果 ， 可 以 部 分 缓解 这 个 问题 。 为 了 检 
测 是 否 存在 一 条 从 s 出 发 并 满足 LTL 公式 $ 的 路 径 ， 检 测 是 否 所 有 路 径 都 满足 一 $; 对 这 个 
问题 的 肯定 回答 就 是 对 初始 问题 的 否定 回答 ， 反 之 亦 然 。 在 前 一 节 中 分 析 摆 渡 者 难题 时 就 用 
到 了 这 个 方法 。 然 而 ， 正 如 我 们 已 经 注意 到 ， 混 和 使 用 了 全 称 和 存在 路 径 量 词 的 性 质 一 般 不 
能 用 这 种 方法 进行 模型 检测 ， 因 为 补 公 式 仍 然 混 和 使 用 全 称 和 存在 量词 。 

分 支 时 间 逻 辑 通 过 明确 地 允许 使 用 路 径 量词 解决 这 个 问题 。 我 们 将 考察 一 种 计算 树 逻 辑 
(Computation Tree Logic，CTL)。 在 CTL 中 ， 除 了 有 LTL 中 的 时 态 算 子 U，F，G 和 X 外 ,我 
们 还 有 量词 A 和 EE， 分 别 表达 “对 所 有 路 径 ”" 和 “存在 一 条 路 径 ”。 例 如 ， 我 们 可 以 写 : 

© 存在 一 个 可 达 状 态 满足 q: 这 可 以 写 为 EF g。 

。 对 所 有 满足 p 的 可 达 状 态 ， 可 以 连续 地 保持 p， 直 到 到 达 一 个 满足 4 的 状态 ， 这 可 以 写 为 AG(p 一 

E[pUq]). 
。 只 要 满足 p 的 状态 是 可 达 的 ， 系统 可 以 永远 连续 不 断 旦 现 g: AG(poEG 9) 。 
© 存在 一 个 可 达 状 态 ， 由 其 出 发 的 所 有 可 达 状 态 都 满足 p: EF AG p。 


3.4.1 CITL 的 语法 


计算 树 逻 辑 (或 简称 CTL) 是 一 种 分 支 时 间 逻 辑 ， 即 它 的 时 间 模 型 是 一 个 树 状 结构 ， 其 
中 未 来 是 不 确定 的 。 未 来 有 不 同 的 路 径 ， 其 中 的 任何 一 个 都 可 能 是 现实 的 “实际 "路径 。 

和 以 前 一 样 ， 我 们 固定 一 个 的 原子 公式 /描述 的 集合 (例如 p，g, r,，… 或 pi，p;，…)。 

定义 3.12 如 LIL 一 样 ， 通 过 Backus-Naur 范式 归纳 定义 CTL AÑ: 

gi =1l Tlpl (76)! (Or)! ($Y 4G)! (6+) 1 AX PI EX SI 
AF $I EF $I AG SI EG pI ALOU 4]! ELS US] 

此 处 p 取 遍 原子 公式 的 集合 

注意 ， 每 个 CTL 时 态 连 接 词 都 是 一 对 符号 。 对 中 的 第 一 个 是 A 或 E。A 是 “ 沿 所 有 路 
径 ” (无 一 例外 ) ,的 含义 是 “ 沿 至 少 (存在 ) 一 条 路 径 ”( 可 能 )。 符 号 对 中 的 第 二 个 符号 是 
X, F, GRU, 含义 分 别 为 “下 一 状态 ”,“ 某 个 未 来 状态 ”,“ 所 有 未 来 状态 (全 局 )” 和 “ 直 
到 ”。 Alm, Elp, U $8,] 中 的 符号 对 是 EU。 在 CTL 中， 像 EU 这 样 的 符号 对 是 不 可 分 的 。 注 
意 AU 和 EU 是 二 元 的 。 符 号 X, F，G 和 1 在 前 面 没有 A 或 民 的 情况 下 不 能 单独 出 现 。 类 
似 地 ， 每 个 A 或 必须 伴随 着 XX，F，G 或 可 之 一 出 现 。 

通常 在 CTL 中 不 包含 弱 - 直 到 (W) 和 释放 (R) ， 但 它们 是 可 以 导出 的 ( 见 3.4.5 节 )。 

约定 3. 13 对 CTL 连接 词 ， 假 定 与 命题 逻辑 和 谓词 逻辑 中 类 似 的 绑 定 优先 级 。 一 元 连 
接 词 (包括 一 和 时 态 连接 词 AG，EG，AF，EF，AX 和 EX) 有 最 紧密 的 绑 定 ， 其 次 是 ^ 和 Yv; 
然后 是 一 ，AU 以 及 EU, 

自然 ， 我 们 可 以 使 用 括号 忽略 这 些 优先 级 。 为 了 理解 语法 ， 来 看 一 些 合式 CTL 公式 和 
非 合式 CTL 公式 的 例子 。 假 设 p，g 和 7 是 原子 公式 。 下 面 是 一 些 合式 CTL AK: 

。 4C(4 一 EC r), XECH AG gqg-»EG r 不 一 样 ， 因 为 根据 约定 3. 13， 后 一 个 公式 指 
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(AG q)— (EG r) 

EF E[r Ug] 

AfpUEFr] 

EF EG p>AF r， 还 要 注意 它 的 括号 绑 定 为 (EF EG p)->AF r, 不 是 EF(EG p 一 AF r) 
或 EF EG(p 一 AF r) 

Alp, U Alp, U p,]] 

E[A[p, U p,]U p,] 

AG(pA[p U(> pr Al 7pUgq]})]). 

值得 花 一 些 时 间 看 看 语法 规则 是 如 何 允 许 构造 这 些 公式 的 。 下 面 的 式 子 不 是 合式 公式 : 

e EFGr 

e A7~Grp 

e F[r Uq] 

® EF(rUq) 

e AEFr 

e A[(rUg)^(pUr)]。 
特别 值得 理解 的 是 为 什么 语法 规则 不 允许 构造 这 些 公式 。 以 EF(r U 9 ) 为 例 ， 这 个 字符 串 的 
间 题 在 于 URES A 或 E 配对 出 现 , E 又 是 与 F 成 对 出 现 的 。 为 了 将 这 个 串 改 成 一 售 合式 
CTL 公式 ， 只 能 写 EF E[r U g] REF A[r Uq]. 

注意 ， 当 在 A 或 下 后 面 配 对 的 算 子 是 U 时 ， 使 用 方 括号 。 这 样 做 并 没有 什么 特别 的 理 
由 。 可 以 用 通常 的 圆 括号 代替 。 然 而 ， 这 常 有 助 于 人 们 阅读 公式 (因为 我 们 能 更 容易 地 找到 、 
相应 的 关闭 括号 的 位 置 )。 使 用 方 括 导 的 另 一 个 原因 是 
SMV 一 直 坚 持 这 样 做 。 

AL(rU9)^(PUr)] 不 是 合式 公式 的 原因 是 语法 不 
允许 将 布尔 连接 词 ( 例 如 ^) 直接 放 在 AL ] 或 E[ ] 中 。A 
或 的 出 现 必须 紧 跟 着 G,，F,X 或 U 之 一 出 现 。 如 果 U 
跟着 它们 出 现 ， 一 定 是 A[$ UY HBR, MEd My T 
以 包含 和 ^， 因 为 它们 是 任意 公式 。 因 此 , A[(p 人 ^g)U 
(一 rq)] 是 一 个 合式 公式 。 

注意 AU 和 EU 是 混和 使 用 中 级 和 前 缀 记号 的 二 元 连 
Kil, RRM PRB, MRE, AU $,， 而 按 严格 
BRER, WKH AU(d,, 6.) 

就 任何 形式 语言 而 言 ， 如 前 两 章 ， 画 出 合式 公式 的 
语法 分 析 树 是 有 用 的 。A[AX — p U E[EX(pa q) 
U 一 pj]] 的 语法 分 析 树 如 图 3-18 所 示 。 图 3-18 一 个 无 中 缀 记号 的 CTL 

定义 3.14 一 个 CTL 公式 由 的 子 公式 是 这 样 的 公式 公式 的 语法 分 析 树 
少 ， 其 语法 分 析 树 是 $ 的 语法 分 析 树 的 子 树 。 


3.4.2 计算 树 钦 辑 的 语义 
CTL 公式 在 迁移 系统 (定义 3.4) 上 进行 解释 。 设 AM =(S, >, L) 是 一 个 模型 ，s e S, $ 
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B—-TCILAK, M, sEGOBERUNENER o 的 结构 进行 递归 ， 可 以 大 致 理解 如 下 : 
。 若 中 是 原子 的 ， 满足 关系 由 上 确定 。 
。 车 中 的 顶级 连接 词 ( 即 出 现在 $ 的 语法 分 析 树 中 最 顶层 的 连接 词 ) 是 一 个 布尔 连接 词 (人 ，Y， 一 ， 
下 等 ) ， 则 满足 问题 由 普通 的 真 值 表 定 义 以 及 由 的 下 一 步 递归 来 回答 。 

。 若 顶级 连接 词 是 一 个 以 A 开始 的 算 子 ， 则 满足 关系 成 立 ， 如 果 从 * 出 发 的 所 有 路 径 均 满足 移 去 符号 
A 后 所 得 到 的 “LTL 公式 ”。 

© 类 似 地 ， 若 顶级 连接 词 开 始 于 E， 则 满足 关系 成 立 ， 如 果 从 ， 出 发 的 某 个 路 径 满 足 移 去 符号 玉 后 所 
得 到 的 “LTL 公式 ”。 

ERARE, BA ARE 的 结果 严格 地 讲 并 不 是 LTL 公式 ， 因 为 其 下 面 也 可 能 仍然 
包含 有 A 或 E。 然 而 ,这 些 问题 将 由 递归 来 处 理 。 

M, sEGMBRELAARM: 

定义 3.15 WM=(S, >, 7) 是 关于 CTL 的 一 个 模型 ，* 属于 $5， 是 一 个 CTL 公式 。 
RRM, sE 中 由 对 由 做 结构 妇 纳 来 定义 : 

1. M, sETEM, ski 

2. M, sEp 4AM peL(s) 

3. M, sF7¢ 4HM4M, sKob 

4. M, sE, ^p, 当 且 仅 当 NM，sF 和 EM, sk 四 

SEM, sE Q, Yh, YARYM, sF RBM, seo, 

6. M, sE 由 一 由 ERAM, skb, RBM, sE 由 

7. M, sFAX 中 当 且 仅 当 对 所 有 使 得 * 一 5 Hs, AM, s Fb. FR, AX 含义 为 “在 所 有 下 一 

8. M, sF EX 由 当 且 仅 当 对 某 个 使 得 s>s, Ks, BM, s 上 由 。 于 是 ，EX 含义 为 “在 某 个 下 一 状 
态 ”。E 与 A 对偶， 与 谓词 逻辑 中 习 与 Y 对 偶 的 情况 完全 一 样 。 

9. M, sF AG 中 成 立 当 且 仅 当 对 于 所 有 满足 s, =s 的 路 径 9 一 9 一 5 一 …， 及 沿 该 路 径 上 的 所 有 s,， 有 
M, sF 四。 方便 记忆 : 对 所 有 以 s 开始 的 计算 路 径 ， 性 质 p 全 局 地 成 立 。 注 意 :“ 沿 该 路 径 ” 包 括 路 径 的 
初始 状态 so 

10. M, sF EG 4$ 成立 当 且 仅 当 存在 一 条 满足 s, =s 的 路 径 875,757", RBBRE LAG s, 
有 AM，s; 上 四。 方便 记忆 : 存在 一 条 以 * 开始 的 路 径 ， 使 得 沿 着 该 路 径 ， 由 全 局 地 成 立 。 

11. M, sFAF 由 成 立 当 且 仅 当 对 于 所 有 满足 8 =s 的 路 径 s, 一 s, 一 …， 有 某 个 s,, WM, sE F 
便 记忆 : 对 于 所 有 以 * 开 始 的 计算 路 径 ， 存 在 某 个 未 来 状态 使 RL 

12. M, sF EF 由 成 立 当 且 仅 当 存在 一 条 满足 s =s 的 路 径 9 一 9 一 5: 一 …， 并 且 沿 该 路 径 存 在 某 个 。， 
EM, s Epo FERL: 存在 一 条 以 * 开始 的 计算 路 径 ， 使 得 由 在 某 个 未 来 状态 下 成 立 。 

13. M, sE Alo, U p ] 成 立 当 上 且 仅 当 对 于 所 有 满足 9 =s 的 路 径 一 s: 一 5 一 …， 该 路 径 满足 由 Up, 
即 沿 着 该 路 径 存 在 某 个 ;,， 使 得 M，s, F 中,， 且 对 于 每 个 j<i， 有 M，s 上 中,。 方 便 记忆 : 所 有 以 。 开 始 的 
计算 路 径 满 足 由 ， 直 到 p, 在 其 上 成 立 。 

14. M, sE Elg, U 4,] 成 立 当 且 仅 当 存在 一 条 满足 s, =s 的 路 径 s 一 5 一 5 一 …， 且 该 路 径 满足 $, U 
中， 如 在 13 中 说 明 的 那样 。 方 便 记忆 : 存在 一 条 以 ， 开始 的 计算 路 径 满足 $, ， 直 到 4, 在 其 上 成 立 。 

上 面 的 语句 9 ~ 14 均 参 考 了 模型 中 的 计算 路 径 。 因 此 ， 从 给 定 状态 s 出 发 的 所 有 可 能 的 
计算 路 径 可 视 化 是 非常 有 用 的 ， 这 可 以 将 迁移 系统 展开 得 到 一 个 无 限 计算 树 ， 因 而 得 名 “ 计 
算 树 逻 辑 ”"。 图 3-19 ~ 图 3-22 的 图 形 模式 化 地 显示 了 初始 状态 分 别 满足 公式 EF $, EG 6, 
AG 中 和 AF 中 的 系统 。 当 然 ， 可 以 在 这 些 图 形 的 任何 一 个 添加 更 多 的 中 ， 并 且 仍 保持 满足 关 
系 ， 尽 管 对 AG 已 经 没什么 可 添加 的 了 。 这 些 图 形 解释 了 满足 公式 的 “最 小 "方式 。 
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图 3-19 初始 状态 满足 EF 由 的 一 个 系统 图 3-20 初始 状态 满足 EG 由 的 一 个 系统 





图 3-21 初始 状态 满足 AG 4 的 一 个 系统 图 3-22 初始 状态 满足 AF 中 的 一 个 系统 


回忆 图 3-3 中 指定 初始 态 s 的 迁移 系统 ， 图 3-5 是 其 无 限 树 说 明 。 现 在 考虑 一 些 关 于 这 
个 系统 的 检测 例子 。 

l. M，so 上 p 八 9g 成 立 ， 因 为 原子 符号 p 和 9g 包含 在 so BAP. 

2. M，so 上 一 r 成立， 因为 原子 符号 7 不 包含 在 s BAR. 

3. AEM, M, s ET Ri. 

4. M, s 上 EX(q 人 7) 成 立 ， 因 为 有 图 3-5 中 最 左边 的 计算 路 径 :一 so 一 5 一 …， 它 的 第 二 个 结 点 s, 包 
&qAr. 

5. M, ss F7AX(q Ar) My, AA 3-5 中 有 最 右边 的 计算 路 径 :一 2 一 9 一 5 一 …， 它 的 第 二 个 结 
点 ss 仅 包含 r， 不 包含 gq。 

6 M, so F7 EF(p 人 7) 成 立 ， 因 为 不 存在 以 s 开始 的 计算 路 径 能 够 达到 使 p ^ r 成 立 的 一 个 状态 。 这 
不 过 是 因为 在 这 个 系统 中 不 存在 使 p 和 7 同时 成 立 的 状态 。 

7. M，s, 下 EG rr 成立， 因为 存在 一 条 以 s, 开始 的 计算 路 径 s, 一 s, 一 s, 一 …， 使 得 r+ 对 于 该 路 径 上 的 所 
有 未 来 状态 都 成 立 ; 这 是 以 s, 开始 的 唯一 计算 路 径 ， 因 此 AM ，s, F AG r 也 成 立 。 

8. M, S F AF r 成立， 因为 对 以 so 开始 的 所 有 计算 路 径 ， 系 统 会 达到 一 个 使 + 成 立 的 状态 (s, 或 ;, ) 。 
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9. M, sFE[(pAg) Ur] Mu, 因为 有 图 3-5 中 最 右边 的 计算 路 径 5 一 2 一 2 一 2 一 …， 其 第 二 个 结 
点 s,(i=1) 满足 r， 但 它 前 面 的 所 有 结 点 都 (只 有 7=0， 即 结 点 s) BE PAG. 

10. M, s,FA[pUr] Rw, RA p Es MY, 且 r 在 5% 的 任何 可 能 后 继 状 态 都 成 立 ， 故 PPUr 对 以 m 
开始 的 所 有 计算 路 径 都 为 真 (我 们 可 以 不 依赖 于 路 径 而 选取 ;= 1) 。 

Il. M, s F AG(pVqVr>EF EGr) 成 立 ， 因 为 在 从 s, 可 达 且 满足 PY9gvr 的 所 有 状态 (此 时 就 是 所 
有 状态 ) 下， 系统 可 以 达到 一 个 满足 EG r 的 状态 (此 处 为 状态 s,) 。 


3.4.3 规范 的 实际 模式 


看 公式 的 一 些 典型 例子 并 与 LTL(3. 2.3 节 ) 的 情况 做 比较 是 非常 有 用 的 。 假 定 原子 描述 
包括 一 些 诸如 busy 和 requested 这 样 的 词 。 
可 以 到 达 一 个 使 started 成 立 ， 但 ready 不 成 立 的 状态 : EF( started 入 一 ready) 。 为 表达 不 可 能 性 ， 只 
需要 否定 这 个 公式 。 
对 任何 状态 ， 如 果 ( 对 某 种 资源 的 )request 出 现 ， 那 么 它 最 终 会 被 确认 : 

AG(requested—+AF acknowledged) 。 
如 果 进 程 被 使 能 无 限 多 次 ， 那 么 它 将 运行 无 限 多 次 。 这 个 性 质 用 CTL 是 不 可 表达 的 。 特 别 地 ， 它 不 
能 表示 为 AG AF enabled 一 AG AF mnning， 或 者 是 将 其 他 A R E fi AHE LTL 公式 。 上 面 给 出 的 
CTL 公式 表达 的 是 : 如 果 所 有 路 径 被 无 限 多 次 使 能 ， 那 么 所 有 路 径 被 无 限 多 次 被 选中 ; 这 上 比 断 言 所 
有 被 无 限 次 使 能 的 路 径 总 可 被 无 限 多 次 选中 要 弱 得 多 。 
。 一 个 特定 进程 在 所 有 计算 路 径 上 被 无 限 多 次 使 能 : AG(AF enabled) 。 
不 管 发 生 什么 ， 一 个 特定 进程 最 终 将 永久 死 锁 : AF( AG deadlock) 。 
从 任何 状态 出 发 都 可 能 达到 一 个 重启 状态 : AG(EF restart) 。 
。 一 部 上 行 电梯 中 在 第 二 层 不 改变 方向 ， 如 果 有 乘客 想 去 第 五 层 : 
A G(floor2 A directionup ^ ButtonPressedS—A{ directionup U floorS ] ) 
此 时 的 原子 描述 是 由 系统 变量 创建 的 布尔 表达 式 ， 例如，floor2。 
电梯 可 以 在 第 三 层 关 着 门 保 持 闲置 : 
AG( floor3 A idle A doorclosed—+EG ( floor3 A idle A doorelosed) ) 。 
一 个 进程 总 可 以 请 求 进入 其 关键 段 。 这 用 LTL 是 不 可 表达 的 。 使 用 图 3-8 的 命题 ， 可 以 用 CTL 写 为 
AG(n—EXt )。 
。 进程 无 需 按 严格 顺序 进入 其 关键 段 。 这 也 不 能 用 LIL 表达 ， 尽 管 我 们 曾 表达 过 其 否定 。CTL 允许 直 

接 将 其 表达 为 : EF(c, A Ef[eU( 一 ec AE[7e, Vc])])。 


3.4.4 CTL 公式 间 的 重要 等 价 


定义 3.16 两 个 CTL 公式 OMY 称 为 语义 等 价 的 ， 如 果 任 何 模 型 中 的 任何 状态 ， 只 要 
满足 其 中 一 个 ， 就 满足 另 一 个 。 我 们 记 为 =。 
我 们 已 经 注意 到 A 是 关于 路 径 的 全 称 量 词 ，E 是 相应 的 存在 量词 。 此 外 ，G 和 下 也 是 沿 
一 个 特殊 路 径 上 状态 的 全 称 和 存在 量词 。 鉴 于 这 些 事实 ， 发现 它们 之 间 存 在 德 . 摩根 法 则 就 
不 足 为 奇 了 : 
“AF 6 =EG-¢ 
“EF ¢ =AG7@ (3-6) 
“AX @ = EX7@ 
我 们 还 有 等 价 
AF ¢ = A[T Ud] EF¢=E[TU@] 
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这 与 LTL 中 相应 的 等 价 是 类 似 的 。 
3.4.5 CTL 连接 词 的 适当 集 


与 命题 逻辑 和 LTL 一 样 ，CTL 连接 词 中 有 一 些 宛 余 。 例 如 ， 连 接 词 AX 可 以 写 为 ~ EX A, 
而 AG, AF, EG 和 EF 可 以 用 AU 和 EU 写 出 如 下 : 首先 ， 用 式 (3-6) 将 AC o 5R EF 一 
由 ，EG 4 写成 -AF 一 $59， 然后 用 AF $=A[TU$] 和 EF $=E[TU4$]。 因 此 ，AU，EU 和 
EX 形成 时 态 连接 词 的 一 个 适当 集合 。 

EG, EU 和 EX 也 形成 一 个 适当 集合 ， 因 为 我 们 有 等 价 

Alp Uy] = 7(E[ 7g Um p47 g)] YEG >y) (3-7) 
该 等 价 可 证 明 如 下 : 
Alp Up] SAL (CYU bam AF Hy) 
=> E>[>(> p U7} 47 y)) Fy) 
= TEL (7p U7 PAn~y)) y Gy] 
==(E[> y U7 A>) ] VEG 7H) 
第 一 行 是 根据 定理 3. 10， 其 余 的 则 由 基本 操作 得 到 。( 这 个 证 明 涉及 一 些 与 CTL 语法 形成 规 
则 相悖 的 中 间 公 式 。 然 而 ， 它 在 下 一 节 将 介绍 的 CTL’ 逻辑 中 是 有 效 的 。) 更 一 般 地 ， 我 
们 有 : 

定理 3. 17 CTL 中 的 一 个 时 态 连 接 词 集合 是 适当 的 ， 当 且 仅 当 它 至 少 包含 |AX，EX| 
中 之 一 、{EG，AF，AU| 中 之 一 以 及 EU。 

这 个 定理 在 本 章 末 尾 的 文献 注 记 中 所 参考 的 一 篇 论文 给 出 了 证 明 。 在 定理 中 ， 连 接 词 
EU 起 到 特别 的 作用 ， 因 为 弱 - 直 到 W 和 释放 R 都 不 是 CTL 的 原 语 ( 定 义 3.12)。 时 态 连 接 词 
AR, ER, AW 和 EW 在 CTL 中 都 是 可 定义 的 : 

e A[LpRy]=>E[ np Uny] 

e E[$Ry]=nAl 7b Uy] 

© Ap Wyj=A[y Ry y)], 然后 用 上 面 的 第 一 个 等 式 

* ETO Wy) =ElLyR( OV yw) ]， 然 后 用 上 面 的 第 二 个 等 式 。 

这 些 定义 的 合理 性 可 由 3. 2.4 节 和 3.2.5 节 中 的 LTL 等 价 来 证 明 。CTL 中 其 他 一 些 值得 注意 
的 等 价 如 下 : 








AG 由 = $A AX AG 
EG 由 = AEX EG ¢ 
AF 由 = $V AX AF ¢ 
EF 由 = $V EX EF ¢$ 


Alo Ub] =H v(b% AX A[d UY]) 

E[p Uy] =¥v(Pr EX E[p U y)) 
例如 ， 第 三 个 等 价 的 直觉 如 下 : 为 了 在 一 个 特殊 状态 下 有 AF p, p 必须 在 沿 该 状态 开始 的 
所 有 路 径 上 的 某 个 点 为 真 。 为 做 到 这 一 点 ,或 者 现在 (在 当前 状态 下 ) 就 为 真 ; 或 者 推迟 
为 真 ， 此 时 ， 在 所 有 下 一 状态 必须 有 AF 6$。 注 意 ， 这 个 等 价 在 由 AX 和 AF 自身 定义 AF 时 
是 如 何 出 现 的 ， 这 显然 是 一 个 循环 定义 。 事 实 上 ， 这 些 等 价 可 以 以 非 循环 的 方式 用 AX 和 
EX 来 定义 左边 的 六 个 连接 词 。 这 称 为 CTL 的 不 动 点 特征 ; 它 是 我 们 将 在 3.6.1 节 所 开发 的 
模型 检测 算法 的 数学 基础 ， 后 面 (3.7 节 ) 将 回 到 这 个 问题 。 
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3.5 CTL* 5 LTL CTL 的 表达 能 力 


CTL 明确 允许 对 路 径 使 用 量词 ， 在 这 方面 ， 如 我 们 所 看 到 的 ， 它 比 LTL 有 更 强 的 表达 
能 力 。 然 而 ， 它 不 允许 像 在 LTL 那样 ， 通 过 用 公式 描述 来 选择 一 个 路 径 范 围 。 关 于 这 个 方 
面 ，LTL 更 有 表达 能 力 。 例 如 ， 可 以 说 “对 所 有 这 样 的 路 径 ， 沿 该 路 径 有 p 的 话 也 有 4”， 这 
可 以 用 LTL 表示 为 fp->F g。 由 于 受到 所 有 下 必须 伴随 着 一 个 A 或 下 使 用 的 约束 ， 用 CTL 
这 样 写 是 不 可 能 的 。 公 式 AF p 一 AF g 意味 着 某 些 相 当 不 同 的 事情 : 如 “如 果 沿 着 所 有 路 径 有 
P， 那 么 沿 着 所 有 路 径 也 有 qo WESH AG(p 一 AF q4), 意思 更 接近 ， 因 为 它 表 示 了 所 有 路 
径 延 伸 到 p RASA 4 的 方式 ,但 这 仍然 没有 捕捉 到 下 pF qg 的 意义 。 

CTL " 是 将 LTL 和 CTL 的 表达 能 力 结合 并 除去 CTL 对 每 个 时 态 算 子 (X，U，,，F，G) 必 须 
与 唯一 路 径 量 词 (A, E) 伴 随 使 用 的 约束 而 得 到 的 一 种 逻辑 。 它 允许 诸如 以 下 形式 的 公式 ; 

。 A[(pUr)v(qg Ur)]: 沿 所 有 有 路径， 要么 p 是 真 的 直到 rr， 要 么 g 是 真 的 直到 r。 

。 A[Xp YXXp]: 沿 所 有 路 径 , p 在 下 一 个 状态 或 者 再 下 一 个 状态 是 真 的 ， 但 只 有 一 种 情况 成 立 。 

。 E[G Fp]: 存在 一 条 路 径 ， 沿 着 它 p 无 限 多 次 为 真 。 

这 些 公式 并 不 分 别 等 价 于 A[ (pvg)Ur],，AXpvAXAXp 和 EG EFp。 可 以 证 明 其 中 
的 第 一 个 可 写成 (非常 长 的 )CTL 公式 。 第 二 和 第 三 个 则 没有 与 之 等 价 的 CTL 公式 。 

CTL' 的 语法 涉及 两 类 公式 : 

e 状态 公式 (state formulas) ， 用 状态 来 赋值 : 

= TI pl (mg)! (64 ¢)1 Ala]! Ela] 
此 处 p 是 任何 原子 公式 ， 而 a 是 任意 路 径 公 式 ; UR 
© 路径 公 式 (path formuias) ， 沿 着 路 径 赋值 ， 
a:=¢o!1 (“a)l (ara)! (aUa)! (Ga)! (Fa)! (Xa) 
此 处 由 是 任何 状态 公式 。 这 是 使 用 互 递 归 (mutually recursive) 归纳 定义 的 例子 :每 类 公式 的 
定义 依赖 于 另 一 类 的 定义 ， 其 基本 情况 是 p MT., 

LTL 和 CTL 作为 CTL’ 的 子 集 ”虽然 LTL 的 语法 不 包括 AME, A LTL 的 语义 观点 要 
考虑 所 有 路 径 。 因 此 ，LTL 公式 a 等 价 于 CTL* 公式 A[a]。 于 是 ，LTL WLW CTL’ 的 
子 集 。 

CTL 也 是 CTL 的 子 集 ， 因 为 它 是 将 路 径 公式 限制 为 如 下 形式 的 CTL 片段 ; 

ai: = (Ud)! (Go)! (F 4)! (Xo) 

Al 3-23 显示 了 CTL, LTL 和 CTL’ 的 表达 能 力 之 间 的 关系 。 这 里 是 该 图 所 显示 的 每 个 子 

集中 公式 的 一 些 例 子 : 


CTL* 





图 3-23 CTL, LTL 和 CTL 的 表达 能 力 
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在 CTL 中 但 不 在 LTL 中 : p, SACEFp, CHK: 无 论 到 哪里 ， 我 们 总 可 以 到 达 一 个 
使 p 为 真 的 状态 。 这 也 很 有 用 ， 例 如 在 协议 中 寻找 死 锁 。 

AG EF p 用 LTL 不 可 表达 的 证 明 如 下 。 设 中 是 一 个 LTL 公式 ， 使 AL 由 ] 等 价 于 AG EF p。 
因为 在 下 面 的 左 图 中 ，M，s 上 FAG EFP， 有 AL，sF A[$]。 现 在 设 M' 如 右 图 所 示 。AM' 中 
从 s 出 发 的 路 径 是 MM 中 从 s HRNHKBETH, KAM’, sF ALO]. Rit, M', sE AG EFp 
并 不 成 立 ; 这 是 一 个 矛盾 。 


Q Q ‘ e 
P P “P 


在 CTL’ +, BETE CTL 中 也 不 在 LTL 中 : p, SELG p]， 表 示 存 在 一 条 有 无 限 多 p 
的 路 径 。 

证 明 这 个 公式 用 CTL 不 可 表达 相当 复杂 ， 可 以 在 参考 文献 中 列 出 的 由 E. A. Emerson 和 
其 他 人 合作 的 论文 中 找到 。( 为 什么 用 LTL 是 不 可 表达 的 ?) 

在 LIL 中 但 不 在 CTL 中 : p, SALGF poF q], HALE: 如 果 沿 该 路 径 有 无 限 多 p， 
则 g 出 现 一 次 。 这 是 一 个 能 够 说 是 非常 有 趣 的 事情 。 例 如 ， 许 多 公平 性 约束 的 形式 为 “无 限 
多 次 请 求 蔓 涵 最 终 将 被 确认 ”。 

在 LTL 和 CTL 中 : y, = AG(pAF g) 在 CTL F, RH G(poF g)#LIL F: 任何 p 最 
终 都 跟着 一 个 qo | 

评注 3. 18 ”我 们 刚刚 看 到 ， 通 过 给 每 个 时 态 算 子 添加 一 个 A， 某 些 (不 是 所 有 ) LTL 公 
式 可 以 转换 为 CTL 公式 。 举 一 个 正面 的 例子 ，LTL 公式 C(poF 9) 等 价 于 CTL 公式 AC(p 一 
AF 4) 。 我 们 再 讨论 两 个 反面 的 例子 : 

© FG p 和 AF AG p 不 等 价 ， 因 为 在 下 图 的 模型 中 ，FG p 是 满足 的 ， 而 AF AG p 不 满足 。 


S$ 


事实 上 ，AF AG p 严格 地 强 于 FG po 

。 尽管 LTL 公式 XF p 和 FX p 是 等 价 的 ， 而 且 它 们 等 价 于 CTL 公式 AX AF p, 但 它们 与 AF AX p 不 等 

价 。 后 者 严格 地 更 强 一 些 ， 而 且 有 相当 奇怪 的 意义 ( 试 着 把 它 表达 出 来 ) 。 

评注 3. 19 有 大 量 的 文献 对 线性 时 间 雏 辑 和 分 支 时 间 风 辑 进行 了 考虑 。 关 于 哪 一 种 多 
辑 “ 更 好 ”也 已 经 争论 了 大 约 20 年 。 我 们 已 经 看 到 ， 它 们 的 表达 能 力 是 不 可 比 的 。CTL' 比 其 
他 两 个 有 更 强 表达 能 力 ,但 是 在 计算 上 的 代价 高 得 多 (如 在 3.6 节 中 将 看 见 的 ) 。 在 LIL 和 
CTL 中 之 间 的 选择 依赖 于 应 用 问题 和 个 人 偏爱 。LTL 缺乏 CTL 所 有 的 路 径 量 词 ， 而 CTL 则 
缺少 LTL 的 在 更 精细 的 粒度 上 描述 个 体 路 径 的 能 力 。 就 很 多 人 而 言 ，LTL 似乎 更 易 直 接应 
用 ， 如 上 面 注意 到 的 ， 像 AF AX p 这 样 的 CTL 公式 看 起 来 很 费解 。 


3.5.1 CTL 中 时 态 公式 的 布尔 组 合 


S CTL" 相 比 ，CTL 语法 在 两 个 方面 受到 限制 : 它 不 允许 路 径 公式 的 布尔 组 合 ; 也 不 允 
许 路 径 模 态 词 X, F 和 G 的 嵌 套 。 实 际 上 ， 我 们 已 经 看 到 了 用 CTL 不 可 表达 的 路 径 模 态 词 嵌 
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套 的 例子 ， 例 如 上 面 的 公式 y, My, 

本 节 中 ， 我 们 将 看 到 第 一 个 限制 只 是 表面 的 。 我 们 将 为 有 路 径 公 式 布尔 组 合 的 公式 找到 
CTL 中 的 等 价 公 式 。 思 想 是 将 有 路 径 公 式 布尔 组 合 的 任何 CTL 公式 转化 成 不 含 这 些 组 合 的 
CTL 人 公式。 例如， 我 们 看 到 E[Fp 和 人 Fgq]=EF[p ^ EF gjv EF[q AEF pj]， 因 为 如 果 沿 任何 
路 径 ， 有 FP^F9， 那 么 p 必须 出 现在 9 之 前 ,或 者 反之 ， 对 应 于 右边 的 两 个 析 取 式 (如 果 p 
和 9 同时 出 现 ， 则 两 个 析 取 式 均 为 真 ) 。 

因为 U 与 F 相似 ( 仅 有 它 的 第 一 个 参量 额外 的 复杂 ) ， 我 们 发 现下 面 等 价 : 

E[ (p, U g,) ^(ps U gs)] =E[(p, ^p)U(g, ^ E[p, U g,])] 
VE[ (p, Ap.) U(q, AE{p, Ug])] 
而 由 CTL 等 价 A[p Ug] =-(E[7q U(> pA q)]v EG ~q)( Re 3.10), 我们 可 以 得 到 
E[-(pUQ) SEL 7g U7 pA gq) JV EG 一 gqg。 这 个 转化 中 我 们 需要 的 其 他 恒等式 包括 
E[— X p] =EX ~p, 


3.5.2 LIL 中 的 过 去 算 子 


到 目前 为 止 ， 我 们 所 看 到 的 时 态 算 子 X，U, 下 等 都 是 参考 未 来 。 有 时 我 们 想 编 码 参考 
过 去 的 性 质 ， 诸如:“ 只 要 9 出现， 那么 过 去 已 经 有 某 个 p”。 为 做 到 一 点 ,我 们 可 以 增加 算 
子 Y，S，0，H。 它们 分 别 代表 yesterday (ER), since (HA), once (曾经 ) 以 及 historically 
(ARM), 而 且 分 别 是 X,，U，F, G 的 过 去 类 比 。 于 是 ， 上 面 的 示例 公式 可 以 写 为 
G(q>Op). 

NuSMV 支持 LIL 中 的 过 去 算 子 。 我 们 也 可 以 给 CTL 加 入 过 去 算 子 (AF，ES 等 ), 但 
NuSMV 并 不 支持 这 些 算 子 。 

过 去 算 子 并 不 能 增加 LTL 的 表达 能 力 ， 这 和 多少 与 直觉 相悖 。 也 就 是 说 ， 带 有 过 去 算 子 
的 每 个 LTL 公式 均 可 以 等 价 地 写 为 不 含 过 去 算 子 的 公式 。 上 面 的 示例 公式 可 写成 -pW 9， 
或 者 车 要 避免 用 W， 也 可 以 等 价 地 写 为 "(一 g U(p ^ 一 g))。 这 个 结果 是 令 人 惊讶 的 ， 因 为 
能 够 谈论 过 去 以 及 未 来 似乎 应 该 比 只 能 谈论 未 来 有 更 强 的 表达 能 力 。 然 而 ， 我 们 记得 LTL 
等 价 是 相当 粗糙 的 : 它 是 两 个 公式 可 由 完全 相同 的 路 径 集合 所 满足 。 过 去 算 子 允许 沿 着 路 径 
道行 ,但 只 能 到 达 由 起 点 前 行 可 以 到 达 的 点 。 与 之 形成 对 比 ， 给 CTL 增加 过 去 算 子 的 确 能 
增加 其 表达 能 力 ， 因 为 过 去 算 子 允许 考察 由 当前 状态 前 行 不 可 到 达 的 状态 。 


3.6 模型 检测 算法 


在 3.2 节 和 3.4 节 中 给 出 的 LTL Al CTL 语义 定义 允许 检测 给 定 系 统 的 初始 状态 是 否 满 
足 LIL 或 CTL 公式。 这 就 是 模型 检测 的 基本 问题 。 一 般 地 ， 有 趣 的 迁移 系统 将 有 大 量 的 状 
态 ， 而 我 们 所 感 兴 趣 的 待 检 测 公 式 可 能 非常 长 。 因 此 ， 尝 试 寻找 高 效 算法 是 非常 值得 的 。 

我 们 已 经 注意 到 ， 尽 管 规范 设计 人 员 一 般 比 较 偏好 用 LTL， 但 我 们 仍然 从 CTL 模型 检测 
开始 ， 因 为 它 的 算法 更 简单 。 


3.6.1 CTL 模型 检测 算法 


人 们 可 能 发 现 ， 关 于 指定 一 个 初始 状态 将 模型 展开 成 无 限 树 后 做 模型 检测 更 容易 些 ， 因 
为 这 样 做 ， 所 有 可 能 的 路 径 都 是 清晰 可 见 的 。 然 而 ， 如 果 想 在 计算 机 上 实现 模型 检测 器 ， 肯 
定 不 能 将 迁移 系统 展开 成 无 限 树 。 我 们 需要 对 有 限 数据 结构 进行 检测 。 由 于 这 个 原因 ， 我 们 
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必须 发 展 CTL 语义 中 的 新 思想 。 这 种 更 深刻 的 理解 将 为 下 列 问题 的 高 效 算法 提供 了 基础 : 
给 定 M，se5S 和 由 ,计算 At ，sF 中 是 否 成 立 。 在 中 不 满足 的 情况 下 ， 这 个 算法 可 被 增强 ， 
产生 系统 的 一 条 实际 路 径 ( = 运行 ) ， 以 证 明 A4 不 能 满足 pp。 这 样 ， 我 们 可 以 通过 尝试 找 出 
使 运行 拒绝 $ 的 原因 来 调试 系统 。 

有 各 种 方式 把 以 下 问题 视 为 计算 问题 : 


， 
M, so Ed 

例如 ， 可 以 将 模型 M、 公 式 p 和 状态 s 作为 输入 ， 然 后 期 待 一 个 形 为 “yes”(KM，s Eom 
立 ) 或 “no"( KM，s F 由 不 成 立 ) 的 回答 。 或 者 ,输入 只 是 4 和 中 ， 而 输出 是 模型 4 的 满足 由 
的 所 有 状态 so 

原来 为 解决 第 二 个 问题 提供 算法 更 容易 些 。 这 将 自动 给 出 第 一 个 问题 的 解 ， 因 为 只 需 检 
测 so。 是否 为 输出 集合 中 的 元 素 即 可 。 

标记 算法 ”我 们 提出 一 个 算法 ,已 知 一 个 模型 和 一 个 CTL 公式 , 该 算法 输出 满足 公式 
的 模型 的 所 有 状态 。 该 算法 无 需 明 确 地 处 理 CTL 的 每 个 连接 词 ， 因 为 我 们 已 经 看 到 ， 命 是 
连接 词 上 ， 一 和 人 形成 适当 集合 ; WAP, EU 和 EX 形成 时 态 连 接 词 适当 集合 。 给 定 任意 CTL 
公式 $， 为 了 用 适当 连接 词 集合 将 其 写 为 等 价 形式 ， 我 们 可 以 对 o 进行 简单 预 处 理 ， 然 后 调 
用 模型 检测 算法 。 下 面 就 是 这 个 算法 : 

输入 : 一 个 CTL 模 型 MM =(S, 一, 工 ) 和 一 个 CTL 公式 ġo 

输出 : 满足 加 的 M 的 状态 集合 

首先 ， 把 由 变 成 TRANSLATE($) 的 输出 ， 即 用 本 章 前 面 给 出 的 等 价 将 由 用 连接 词 AF， 
EU，EX，^， 一 和 二 表示。 其 次 ， 从 由 的 最 小 子 公式 开始 ,用 由 的 被 满足 的 子 公式 来 标记 
M 的 状态 ， 并 由 里 向 外 逐步 扩展 6. 

假定 yy 是 四 的 一 个 子 公 式 ， 且 满足 y 的 所 有 直接 子 公式 的 状态 都 已 经 被 标记 。 我 们 通 
过 情况 分 析 来 确定 哪些 状态 用 小 标记。 如 果 峭 是 

。 上: 则 没有 状态 用 土 标 记 。 

© p: 若 peL(s)， 则 用 p 标记 s。 

ep Ap: 车 s 已 用 y) My, 标记， Ws Ay, Ag, 标记。 
mp: 车 * 还 没有 用 多 标记， 则 用 一 几 mics. 
AF wy: 
一 车 任何 状态 s Av, 标记 了 ， 则 用 AF y, 标记 它 。 
一 重复 : 用 AF y 标记 任何 状态 ， 如 果 所 有 后 继 状态 用 AF y 标记 ， 直 到 不 再 发 生 改 变 。 图 3-24 


说 明了 这 个 步 又 。 
am) Care) 
CMD) > CAM CaP 
Cam) <> 
… 直 到 不 发 生 改 变 。 


图 3-24 用 形 如 AF y, 的 子 公式 标记 状态 过 程 的 迭代 步骤 
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e E[y, U p]: 
一 车 任何 状态 用 内 ic, WAEL y, Up REES 
一 重复 : 用 E[y, U 名 ] 标 记 任何 状态 ， 如 果 该 状态 用 p, 标记 ， 并 且 其 后 继 状 态 中 至 少 有 一 个 用 
Ely, Uy, 标记， 直到 不 再 发 生 改 变 。 图 3-25 说 明了 这 个 步骤 。 


Qi) Gow) 
Ch CD Gro — CD 
CD CO 


图 3-25 用 形 为 Ely, U p ] 的 子 公 式 标 记 状态 过 程 的 迭代 步骤 


。 EX y: AEX p 标记 任何 状态 ， 如 果 其 后 继 之 一 用 标记 。 
对 中 的 所 有 子 公式 (包括 由 本 身 ) 完 成 标记 后 ， 输 出 标记 为 由 的 状态 。 
这 个 算法 的 复杂 度 为 0(F. V: (V+E))， 此 处 f 是 公式 中 连接 词 的 个 数 ,，V 是 状态 个 
数 ， 而 是 迁移 的 个 数 。 该 算法 关于 公式 的 大 小 为 线性 的 ， 而 关于 模型 的 大 小 是 二 次 的 。 
直接 处 理 EG 不 使 用 最 小 连接 词 适当 集合 ， 也 可 以 为 其 他 连接 词 写 相似 的 例 程 。 事 实 
上 ， 这 样 也 许 更 有 效 。 然 而 ， 连 接 词 AG 和 EG 需要 一 种 与 其 他 连接 词 略 微 不 同 的 方法 。 下 
面 是 一 个 直接 处 理 EG y, 的 算法 : 
e EC yy: 
一 用 EG y 标记 所 有 的 状态 。 
一 ERE s 未 用 内 标记 ， 删 除 标记 EG yio 
一 重复 : 从 任何 状态 其 除 标记 EG y, ， 如 果 该 状态 的 所 有 后 继 都 没有 用 EG y, 标记 ; 直到 不 再 发 生 改 变 。 
这 里 ， 我 们 用 子 公 式 EG y 标记 所 有 状态 ， 然 后 削减 这 个 标记 集合 ， 而 不 像 对 EU 所 做 
的 那样 ， 从 一 无 所 有 开始 建立 。 实 际 上 ， 就 最 终结 果 而 言 ， 关 于 EG y 的 这 个 过 程 与 将 其 转 
化 为 了 -AF 一 乡 后 再 做 ， 两 者 之 间 并 没有 真正 的 差别 。 
一 个 更 有 效 的 变异 通过 使 用 一 个 更 聪明 的 处 理 EG 的 方法 ， 可 以 改进 标记 算法 的 效 
率 。 不 使 用 EX，EU MAF 作为 适当 集合 ， 取 而 代 之 为 EX，EU 和 EG。 对 EX 和 EU， 要 做 
的 和 以 前 一 样 (但 要 注意 通过 反 向 广度 优先 搜索 方法 来 搜索 模型 ， 这 保证 不 会 通过 任何 结 点 
两 次 ) 。 关 于 EG y 的 情形 
。 把 图 限制 到 满足 少 的 状态 ， 即 删除 所 有 其 他 状态 及 其 迁移 ; 
。 找到 最 大 强 连通 分 支 (strongly connected components，SCCs); 它们 是 状态 空间 的 最 大 区 域 ， 在 该 区 
域 中 每 个 状态 都 与 区 域 中 的 所 有 其 他 状态 相连 接 ( = 有 一 条 有 限 路 径 ) 。 
。 对 限制 的 图 上 应 用 反 向 广度 优先 搜索 算法 找 出 可 以 到 达 一 个 SCC 的 任意 状态 ， 见 图 3-26。 
满足 的 状态 


FEGY (sec) 


图 3-26 处 理 EG 的 一 个 更 好 方法 
这 个 算法 的 复杂 度 为 0(f. (V+E))， 即 关于 模型 和 公式 的 尺寸 都 是 线性 的 。 
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3.20 我 们 将 基本 算法 对 公式 E[ c U ci] 应 用 于 互 斥 的 第 二 个 模型 ， 见 图 3-27。 
在 第 1 阶段 ,算法 用 E[ 一 c, U ci] 标记 满足 c, 的 所 有 状态 。 这 标记 了 s 和 s,。 在 第 2 阶段 ， 
算法 标记 所 有 不 满足 o 、 并 且 有 后 继 状 态 已 经 被 标记 过 的 所 有 状态 。 这 标记 了 状态 s Mso 
在 第 3 阶段 ， 我 们 标记 % ， 因 为 它 不 满足 c ， 而 且 有 已 经 标记 的 后 继 状态 (s, ) 。 随 后 算法 终 
止 ， 因 为 已 经 没有 需要 标记 的 其 他 状态 了 : 所 有 未 标记 的 状态 要 么 满足 c,， 要 么 必须 通过 这 
样 一 个 状态 到 达 已 标记 的 状态 。 





图 3-27 标记 算法 在 关于 互 斥 的 第 二 个 模型 应 用 于 公式 Elo, U c,] 的 运行 示例 


CTL 模型 检测 算法 的 伪 代 码 ”我 们 给 出 基本 标记 算法 的 伪 代 码 。 主 函数 SAT 表示“ 满 
E” ) 将 CTL 公式 作为 输入 。 程 序 SAT 期 望 一 株 根据 定义 3. 12 的 语法 所 构造 的 CTL 公式 的 
语法 分 析 树 作为 输入 。 这 种 期 望 反映 了 关于 Sam 算法 正确 性 的 一 个 重要 前 置 条 件 。 例 如 ， 
程序 对 形 如 X(T^ EF p) 的 输入 根本 不 知道 怎样 去 做 ， 因 为 这 不 是 一 个 CTL 公式 。 

为 SAT 写 的 伪 代 码 有 点 像 C 或 Java 代码 片段 。 使 用 带 有 关键 字 return 的 函数 ， 用 来 
指示 函数 将 返回 的 结果 。 我 们 也 使 用 自然 语言 指示 对 由 的 语法 分 析 树 中 根 结 点 的 情况 分 析 。 
local var 声明 一 些 相 对 于 所 考虑 程序 的 当前 实例 ， 为 局 部 的 新 变量 ; 而 repeat until 
重复 地 执行 随后 的 命令 ， 直 到 条 件 变 为 真 。 此 外 ， 使 用 关于 集合 运算 (如 交集 、 补 集 等 等 ) 
的 一 些 建设 性 记号 。 在 现实 中 ， 可 能 需要 抽象 数据 类 型 ， 以 及 关于 这 些 运算 的 实现 ， 但 目前 
我 们 仅 对 SAT 算法 原则 性 机 制 感 兴趣 。 集 合 运算 的 任何 (正确 有 效 的 ) 实 现 都 可 以 在 第 6 章 
研究 。 假 设 SAT 可 以 访问 模型 的 所 有 相关 部 分 : S，- 和 工 。 特 别 地 ， 我 们 忽略 SAT 要 求 将 
人 的 描述 作为 输入 这 个 事实 ， 简 单 地 假设 SAT 在 任意 给 定 的 模型 上 直接 操作 。 注 意 ，SAT 
是 如 何 将 由 翻译 成 所 选择 的 适当 集 的 等 价 公式 的 。 

算法 显示 在 图 3-28 中 ， 其 子 函数 则 在 图 3-29 ~ 图 3-31 中 。 子 函数 使 用 代表 状态 集合 的 
程序 变量 车 ，Y，Y 和 处。Sar 的 程序 可 直接 处 理 简单 情况 ， 而 将 更 复杂 的 情况 传递 给 特殊 
的 过 程 ， 而 后 者 对 子 表 达 式 递归 地 调用 SAT, 这 些 特 殊 过 程 依赖 于 下 述 函 数 的 实现 ; 

prea (Y) = |s e S| ##Es',(sos' Hse Y)} 
prey (Y) = {s e SI HEIA s’,(s > s’ BM s’ e Y)} 
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function SAT (¢) 
/* determines the set of states satisfying ¢ */ 


begin 
case 

gis T : return S 
pis L : return @ 
¢ is atomic: return {s € S | ¢ € L(s)} 
¢ is -01 : return S — SAT (¢1) 
¢ is Bi A pz : return SAT ($1) N SAT (¢2) 
¢ is BV dg : return SAT (¢1) U SAT (¢2) 
¢ is $1 — dg : return SAT (mp1 V $2) 
bis AX ¢, : return SAT (“EX 一 办) 
¢ is EX ġı : return SATex(@1) 
bis Aldi U ¢2] : return SAT(—=(E[¢2 U (-¢1 A 7¢2)] V EG 7¢2)) 
¢ is Eg, U $2] : return SATgy($1, $2) 
¢ is EF ¢, : return SAT(E(T U ¢;)) 
¢ is EG Ji : return SAT(~AF -01) 
¢ is AF bi : return SATAr (¢1) 
¢ is AG ¢, : return SAT (=EF -91) 





end case 


end function 








HIF 


图 3-28 函数 SAT。 将 CTL 公式 作为 输入 并 返回 满足 该 公式 的 状态 集合 。 若 EX，EU 或 AF 是 


输入 语法 分 析 树 的 根 ， 它 分 别 调用 西数 SAT。, ，SAT,, 和 SAT,， 


图 3-29 pK AY SAT,,。 











function SATex (¢) 
/* determines the set of states satisfying EX ¢ */ 
local var X,Y 

begin 







X := SAT ($); 

Y := prea(X); 

return Y 
end 





function SATir (¢) 
/* determines the set of states satisfying AF go */ 
local var X,Y 
begin 
X := $; 
Y := SAT (9); 
repeat until X = Y 
begin 
X:=Y; 
Y := Y Upre(Y) 
end 
return Y 


end 








它 通 过 调用 SAT 计算 满足 $ 的 状态 。 然 后 ， 它 沿 一 向 后 寻找 满足 EX 由 的 状态 


图 3-30 函数 SAT,, 。 通 过 调用 SAT 计算 满足 $ 的 状态 。 然 后 ， 按 照 标记 算法 中 所 描述 的 


方式 将 满足 AF $ 的 状态 累积 在 一 起 





通过 模型 检测 进行 验证 151 








function SATEu (¢, Y) 
/* determines the set of states satisfying E[¢ U y] */ 
local var W, X,Y 
begin 
W := SAT (); 
X:= S; 
Y := SAT (Y); 
repeat until X = Y 
begin 
X :=Y; 
Y := Y U (W 0 pre3(Y)) 
end 


return Y 
end ' 


Æ 3-31 函数 SATsu。 通 过 调用 SAT 计算 满足 $ 的 状态 。 然 后 ， 按 照 标 记 算法 中 所 描述 的 
方式 将 满足 EL} Uy] 的 状态 累积 在 一 起 








“Pre” 表示 沿 迁 移 关 系 向 后 移动 。 两 个 函数 计算 状态 集合 的 原 像 。 函 数 pre, (SAT,, AM SAT,, 
中 的 机 制 ) 以 一 个 状态 子 集 了 作为 输入 ， 并 且 返 回 可 迁移 进入 了 的 状态 集合 。 用 在 SAT,, 中 
的 函数 prey 将 集合 了 作为 输入 并 且 返 回 只 能 迁移 进 了 的 状态 集合 。 注 意 ，prev 可 以 用 补 和 
pre, 表达 如 下 : 

prey (Y) = S - pre, (S -了 ) (3-8) 
这 里 将 不 在 了 中 的 所 有 se 5 的 集合 写 为 $5-Y。 

这 个 伪 代 码 以 及 模型 检测 算法 的 正确 性 将 在 3.7 节 讨 论 。 

“状态 爆炸 "问题 尽管 标记 算法 (包括 聪明 的 处 理 EG 的 方式 ) 关 于 模型 的 规模 为 线 
性 的 ， 遗 憾 的 是 ， 模 型 规模 本 身 通常 关于 变量 个 数 以 及 并 行 执行 的 系统 组 件 的 数目 是 
指数 的 。 这 意味 着 : 比如 说 ， 如 果 在 程序 中 增加 一 个 布尔 变量 ， 则 使 其 性 质 验 证 的 复 
杂 度 加 倍 。 

使 状态 空间 变 得 非常 大 的 趋势 称 为 状态 爆炸 (state explosion) 问题 。 为 了 找 出 克服 这 个 问 
题 的 方法 已 经 做 了 大 量 的 研究 ， 包 括 使 用 以 下 的 方法 : 

© 有 效 的 数据 结构 称 为 有 序 二 元 决策 图 (ordered binary decision diagrams，OBDD) ， 它 表示 状态 集合 而 

不 是 单个 状态 。 我 们 在 第 6 章 详细 研究 这 些 。SMV 就 是 用 ODBB 实现 的 。 

。 抽象 : 我 们 可 以 抽象 地 、 一 致 地 或 者 关于 一 个 特殊 人 性 质 来 解释 一 个 模型 。 

偏 序 归 约 : 对 于 异步 系统 ， 就 待 检测 公式 的 满足 性 而 言 ， 一 些 相互 交织 的 组 件 迹 可 能 是 等 价 的 。 这 
经 常 能 够 显著 缩减 模型 检测 问题 的 规模 。 ` 
。 归纳 : 有 大 量 便 同 或 相似 组 件 系 统 的 模型 检测 经 常 可 以 通过 对 组 件数 目 做 “归纳 "来 加 以 实现 。 
复合 : 将 验证 问题 分 解 成 若干 个 更 简单 的 验证 问题 。 
最 后 四 个 问题 超出 了 本 书 的 范围 ， 但 在 本 章 结尾 出 可 以 找到 相关 的 参考 文献 。 


3.6.2 具有 公平 性 的 CTL 模型 检测 


因为 模型 人 { 可 能 包含 不 现实 的 或 者 所 分 析 的 实际 系统 中 肯定 不 会 发 生 的 行为 ， 所 以 对 
M, soF 中 的 验证 可 能 会 失败 。 例 如 ， 在 互 斥 的 情形 ， 我 们 表达 过 : 只 要 和 需要， 进程 pre 
就 可 以 停留 在 其 关键 段 (st =c) 上 。 我 们 通过 非 确定 性 赋值 来 对 此 建 模 
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next (st) := 
case 


(st =c) : {c,n}; 

然而 ， 如 果 我 们 真 的 允许 进程 2 随 其 所 愿 停留 在 其 关键 段 ， 就 会 有 一 条 路 径 ， 与 活性 约 
东 AG(t, 一 AF ci ) 冲突， 如 果 进 程 2 永远 停 在 其 关键 段 ，% 可 以 为 真 ， 无 需 c BAK, 

我 们 可 以 忽略 这 条 路 径 ， 即 我 们 可 以 假设 只 要 需要 ， 进 程 就 可 以 呆 在 其 关键 段 ， 但 在 某 
段 有 限时 间 后 ， 它 最 终 将 退出 关键 段 。 

在 LTL 中 ， 可 以 通过 验证 像 FG ` c 一 由 这 样 的 公式 来 把 握 这 一 点 ， 这 里 由 是 实际 想 要 
验证 的 公式 。 整 个 公式 断言 满足 ~ o 无 限 多 次 的 所 有 路 径 也 满足 由 。 然 而 ， 在 CTL 中 我 们 做 
不 到 这 一 点 ， 因 为 在 CTL 中 ， 我 们 不 能 写 出 形 如 FG +c, 6 的 公式 。CTL 逻辑 没有 足够 的 
表达 能 力 允许 选取 “公平 "路 径 ， 即 那些 进程 2 总 可 以 最 终 离开 其 关键 段 的 路 径 。 

正 是 由 于 这 个 原因 ，SMYV 允许 将 公平 性 约束 加 到 它 所 描述 的 迁移 系统 的 顶端 。 这 些 假 
设 描述 一 个 已 知 公式 沿 所 有 计算 路 径 无 限 多 次 为 真 。 我 们 称 这 些 路 径 为 公平 计算 路 径 (fair 
computation paths) 。 公 平 性 约束 的 出 现 意 味 着 ， 当 对 规范 中 的 CTL 公式 赋 真 值 时 ， 连 接 词 A 
和 玉 仅 在 公平 路 径 上 取 值 。 

因此 ， 我 们 加 上 ! st =c 无 限 次 为 真 这 个 公平 性 约束 。 这 意味 着 ,不管 进程 处 于 什么 状 
态 ， 未 来 都 存在 一 个 不 处 于 其 关键 段 的 状态 。 类 似 的 公平 性 约束 用 于 交错 位 协议 (ABP) 。 

形 如 

性 质 由 无 限 多 次 为 真 
(其 中 是 一 个 状态 公式 ) 的 公平 性 约束 称 为 简单 公平 性 约 东 。 其 他 类 型 包括 形式 ; 
如 果 由 无 限 多 次 为 真 ， 那么 小 也 无 限 多 次 为 真 。 

SMV 仅 能 处 理 简单 公平 性 约束 ; 但 如 何 做 到 ? 为 了 回答 这 个 问题 ， 我 们 来 解释 如 何 改造 已 
有 的 模型 检测 算法 ， 使 得 假定 A 和 下 只 能 在 公平 计算 路 径 上 取 值 。 

定义 3.21 设 C 主 [yy,，…, ,| 是 nn 个 公平 性 约束 的 集合 。 计 算 路 径 s>s 
关于 这 些 公平 约束 是 公平 的 ， 当 上 且 仅 当 对 于 所 有 i， 存 在 无 限 多 个 j， 使 得 ,上 小 ,， 即 沿 该 路 
BRA p 无 限 多 次 为 真 。 我 们 将 限制 在 公平 路 径 上 的 算 子 A 和 下 写 为 A。 A Eco 

BIW, M, F AcG 由 当 且 仅 当 沿 所 有 公平 路 径 上 的 所 有 状态 MKA. IAF, AU 
等 是 类 似 的 。 注 意 这 些 算 子 明确 地 依赖 于 公平 约束 集 C 的 选择 。 我 们 已 经 知道 EU，E.G 
和 EcX 形成 一 个 适当 集合 。 这 可 以 同 没有 公平 性 约束 (3.4.4 节 ) 的 时 态 连接 词 相同 的 方式 
来 证 明 。 我 们 还 有 

Ec[bUy] = Elp Uy ^E,GT)] 

EcX p = EX(@* E,G T) 
为 了 看 出 这 一 点 ， 观 察 到 一 条 计算 路 径 是 公平 的 ， 当 且 仅 当 它 的 任意 后 级 是 公平 的 。 因 此 ， 
AGA EG 中 提供 一 个 算法 。 这 类 似 于 本 章 早 些 时 候 给 出 的 关于 EG 的 算法 2: 

。 把 图 限制 到 满足 $ 的 状态 。 在 结果 图 中 ， 我 们 想 知道 从 哪些 状态 出 发 有 公平 路 径 。 

© 找 出 限制 图 的 最 大 强 连 通 分 支 (SCC); 

。 车 对 某 个 沙 ，SCC 不 包含 满足 光 , 的 状态 ， 则 除去 该 SCC。 结 果 SCC 是 公平 SCC。 限制 图 的 任何 状态 

有 条 从 它 出 发 的 公平 路 径 。 

。 使 用 反 向 广度 优先 搜索 查找 限制 图 上 可 到 达 公平 SCC 的 状态 。 
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见 图 3-32。 这 个 算法 的 复杂 度 为 0(n.f. (V+E))， 即 关于 模型 和 公式 的 尺寸 仍然 是 线性 的 。 
满足 乡 的 状态 


FE7G 乡 


图 3-32 计算 满足 EcG 由 的 状态 。 一 个 状态 满足 EcG 由 ， 当 且 仅 当 在 限制 到 满足 由 的 状态 得 到 的 图 中 ， 
有 从 该 状态 开始 的 公平 路 径 。 公 平 路 径 导 致 一 个 带 有 回路 的 SCC， 该 回路 至 少 通过 一 个 满足 
所 有 公平 约束 的 状态 ; 在 例子 中 ，C 等 于 {yy pl 


应 该 注意 到 用 SMV 的 关键 字 FAIRNESS 写 公平 性 条 件 仅 对 CTL 模型 检测 是 必要 的 。 在 
LTL 的 情形 ， 我 们 可 以 断言 公平 性 条 件 作为 待 检测 公式 的 一 部 分 。 例 如 ， 如 果 希 望 在 p 无 限 
多 次 为 真 的 假设 下 检测 LLARY, RT GF doy, LERE: 满足 $ 无 限 多 次 的 所 有 
路 径 也 满足 消 。 用 CTL 表达 这 个 公式 是 不 可 能 的 。 特 别 地 ， 给 GF dd Wh A R E 的 任何 
方式 都 将 得 到 与 预期 不 同 的 公式 。 例 如 ，AG AF Oop 的 含义 是 : 若 所 有 路 径 都 是 公平 的 ， 
则 少 成 立 。 而 不 是 所 预期 的 少 沿 所 有 公平 路 径 都 成 立 。 


3. 6.3 LTL 模型 检测 算法 


以 上 几 节 提出 的 CTL 模型 检测 算法 是 相当 直观 的 : 给 定 一 个 系统 和 一 个 CTL 公式 ,该 
算法 用 被 满足 的 公式 的 子 公式 标记 系统 的 状态 。 这 种 状态 标记 的 处 理 方法 是 合适 的 ， 因 为 用 
系统 的 状态 可 以 为 公式 的 子 公 式 赋 值 。 对 LTL 就 不 是 这 种 情况 了 : 公式 的 子 公 式 必 须 沿 着 
系统 的 路 径 赋 值 ， 而 不 是 用 状态 赋值 。 因 此 ，LTL 模型 检测 必须 采用 不 同 的 策略 。 

文献 中 描述 了 几 种 LTL 模型 检测 的 算法 。 尽 管 它们 在 细节 上 有 所 不 同 ， 但 几乎 所 有 算 
法 都 采取 了 相同 的 基本 策略 。 我 们 首先 来 解释 这 个 策略 ， 然 后 更 详细 地 描述 一 些 算法 。 

基本 策略 设 M =(S， 一 ,7) 是 一 个 模型 ，se S$， 中 是 一 个 LTL 公式 。 我 们 要 确定 是 
否 AM，sF 中 ， 即 沿 人 4 的 从 出 发 的 所 有 路 径 ， 由 是 否 满足 。 几 乎 所 有 的 LTL 模型 检测 算法 
都 遵循 以 下 三 步 进行 。 

1. 为 公式 一 由 构造 一 个 自动 机 ， 也 叫做 布景 (tableau) 。 关 于 消 的 自动 机 称 为 4,。 于 是 ， 我 们 构造 
4-*。 该 自动 机 有 一 个 接受 迹 (aceepting a trace) 的 概念 。 迹 是 命题 原子 的 赋值 序列 。 从 条 路 径 出 发 ， 可 
以 抽象 出 它 的 迹 。 该 构造 有 如 下 性 质 : 对 所 有 路 径 oy MAY r 的 迹 为 4, 所 接受 。 换 言 之， 自动 
机 A, 精确 地 编码 满足 少 的 迹 。 

因此 ， 我 们 为 ~ 由 所 构造 的 自动 机 4_,。 有 性 质 : 编码 满足 一 的 所 有 迹 ; 即 所 有 不 满足 由 的 迹 。 

2. 将 自动 机 4 与 系统 的 模型 结合 。 结 合 运算 的 结果 产生 一 个 迁移 系统 ， 其 路 径 婚 是 自动 机 的 路 径 
又 是 系统 的 路 径 。 

3. 在 结合 的 迁移 系统 中 搜寻 ， 看 看 是 否 存在 由 * 导出 的 状态 出 发 的 路 径 。 如 果 存 在 一 条 ， 可 以 解释 为 
人 中 以 * 开 始 不 满足 由 的 一 条 路 径 。 

如 果 没 有 这 样 的 路 径 ， 则 输出 “Yes，M ，s F $B”"。 否 则 ， 如 果 存 在 这 样 的 路 径 , 输出 “No，M， 
s Kg$”。 在 后 一 种 情形 中 ， 可 从 找到 的 路 径 中 提取 出 反例 。 

我 们 考虑 一 个 例子 。 如 图 3-33 所 示 ， 该 系统 由 SMV 程序 及 其 模型 Af 描 述 。 考 虑 公式 
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一 (a U5) 。 因 为 并 不 是 M 的 所 有 路 径 都 满足 公式 (例如 ， 路 径 9 ，9 ，9 ，… 不 满足 它 ) ， 所 
以 ,我 们 预期 模型 检测 是 不 成 功 的 。 











init(a) := 4; 
init(b) := 0; 
next (a) := case 
ta : 0; 
b : 1; 
1 : {0,1}; 
esac; 
next(b) := case 
a & next(a) : !b; 
fa: 1; 
1 : {0,1}; 
esac; 









图 3-33 一 个 SMV 程序 和 它 的 模型 人 1 


根据 步 又 1， 构造 一 个 自动 机 Au ， 它 精确 地 刻画 满足 Ub 的 迹 。( 使 用 -一 (a U5) 等 
OF a U 6 的 事实 。) 这样 的 自动 机 如 图 3-34 所 示 。 稍 后 我 们 将 考虑 如 何 构造 它 ; 目前， 我 
们 仅 试图 理解 它 是 怎样 以 及 为 什么 可 以 工作 。 

迹 :为 如 图 3-34 的 自动 机 所 接受 ， 如 果 存 在 一 条 通过 自动 机 的 路 径 n， 使 得 : 





图 3-34 PERSE p= a Uz 的 自动 机 。 无 箭头 的 迁移 可 以 双向 迁移 。 
接受 条 件 是 该 自动 机 的 路 径 不 能 不 定 地 通过 g, 循环 


。 TT 始 于 一 个 初始 状态 ( 即 包含 由 的 状态 ) ; 

© 它 保持 自动 机 的 迁移 关系 ; 

erH oa WB; 与 下 的 对 应 状态 相 匹配 ; 

。 该 路 径 保 持 某 个 特定 的 “接受 条 件 ”。 对 图 3-34 的 自动 机 ， 接 受 条 件 是 : 该 路 径 不 应 该 不 定 地 以 93， 
293 ，93， … 结 束 。 

PSN, Bt kab, ab, ab, ab, ab, ab, ab, ab, +, RBAKMRHBRA ab, $ 
后 ， 我 们 选择 路 径 23， G3， q3, q4» q4, qis q3» q3, nto Ma; 开始 ， 因为 第 一 个 状态 是 
ag ， 是 一 个 初始 状态 。 我 们 选择 的 下 一 状态 不 过 是 遵循 r 状态 的 赋值 。 例如 ,在 9， 下 一 


个 赋值 是 a6 ， 迁 移 允 许 选 择 q 或 9;。 我 们 选择 9; ， 并 在 那 永远 循环 。 这 条 路 径 满足 条 件 ， 
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因此 迹 上 被 接受 。 观 察 这 个 定义 叙述 “存在 一 条 路 径 ” 。 在 上 面 的 例子 中 ， 也 存在 不 满足 该 条 
件 的 路 径 : 

ea, q, 开始 的 任何 路 径 不 满足 必须 保持 迁移 关系 的 条 件 。 

© BE 93> 3s Wax 44» Van is Fao zs … 不 满足 必须 不 以 q; 的 循环 结束 的 条 件 。 

这 些 路 径 不 会 给 我 们 添 麻烦 ， 因 为 要 声明 mr 是 可 接受 的 ， 只 要 找到 一 条 满足 条 件 的 路 
径 就 够 了 。 

为 什么 图 3-34 的 自动 机 能 如 预期 工作 呢 ? 为 了 理解 这 一 点 ， 观 察 到 它 有 足够 的 状态 来 
区 分 命题 的 值 ， 即 ， 对 所 有 赋值 | ab, ab, ab, ab} 有 一 个 状态 ,事实 上 ， 对 赋值 ob 有 两 个 
状态 。 对 | ab, ab, ab 的 每 个 都 有 一 个 状态 足够 直观 ， 因 为 这 些 赋值 确定 了 a Ub 是 否 成 
立 。 但 是 在 ab a Ub 可 能 为 假 或 为 真 ， 因 此 ， 必 须 考虑 两 种 情况 。 由 So U 在 一 个 状态 


出 现 说 明 : 我 们 仍 预 期 变 为 真 ， 或 者 刚刚 得 到 它 。 而 少 指出 我 们 不 再 预期 hb， 并 且 也 没有 
得 到 它 。 自 动机 的 迁移 使 得 从 9 出 发 的 唯一 方式 是 得 到 5， 即 移 到 g, R go RUSH, iE 
移 不 受 拘 束 ， 人 允许 其 后 跟随 任意 路 径 。g, ，g, ，93 的 每 一 个 均 可 迁移 到 任意 赋值 ， 因 此 可 以 
ER 9 ，9g3， 只 要 我 们 仔细 地 选择 正确 的 一 个 进入 。 接 受 条 件 允 许 任何 路 径 ， 除 了 不 定 地 
在 q, 上 循环 的 路 径 外 ,保证 a。 Ub 释放 4 的 许诺 最 终 满足 。 

使 用 这 个 自动 机 Am 进行 步骤 2。 为 将 自动 机 Am 与 图 3-33 中 所 示 的 系统 模型 人 4 结合 ， 
方便 起 见 ， 用 有 两 个 版 本 的 g 重 画 M， 见 图 3-35a。 这 是 一 个 等 价 系统 。 现 在 进入 q 的 所 
有 方式 非 确定 地 选择 o 或 94; ， 无 论 选择 哪 一 个 都 导致 相同 的 后 继 。 但 它 允 许 我 们 将 其 添加 
在 Au 上 ， 并 选择 二 者 公共 的 迁移 ， 从 而 得 到 图 3-35b 的 结合 系统 。 





a) 用 扩展 的 状态 空间 重 画图 3-33 的 系统 M 日 扩展 的 AM 与 An 结合 
图 3-35 


步骤 3 在 结合 的 自动 机 中 是 否 存在 一 条 从 9 出 发 的 路 径 ? 我 们 可 以 看 到 ， 结 合 系统 中 有 
两 类 路 径 : gq3, (qa; 93,)° das 9 … All qs, qas (435 qa)” 93> > 92> Fao t, HP (g, 
a) WASH, RHI, u, RER G, a. h, u 等 。 于 是 ， 根 据 步 骤 3， 如 预期 的 那 
样 ， 在 原始 系统 M 中 的 所 有 路 径 不 满足 一 (a Ub), 

构造 自动 机 ”我们 更 详细 地 看 一 下 如 何 构造 自动 机 。 给 定 一 个 LTL 公式 6， 希望 构造 一 
个 自动 机 4。， A, 恰好 接受 那些 使 在 其 上 成 立 的 运行 。 假 定 $ 仅 包含 时 态 连接 词 U 和 
X; 记得 其 他 时 态 连 接 词 可 以 由 这 两 个 连接 词 表 示 。 

定义 公式 中 的 闭 包 (closure)C($) 为 中 及 其 补 的 子 公式 构成 的 集合 ， 将 -= Y 5y RA 
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等 同 。 例 如 ，C(a U5) =ja, b, ~a, >b, a Ub， 一 (a U5)}。4, 的 状态 ( 记 为 g，g' 等 
等 ) 是 满足 以 下 条 件 的 C(4$) 的 最 大 子 集 : 

。 对 于 所 有 ( 非 否 定 ) 的 ye C(48), weg 或 者 一 上 eg， 但 二 者 不 能 同时 成 立 。 

e y vpe, HHRH yp, YW,eC( 中 ) 时 有 eg ME pego 

。 其 他 布尔 组 合 的 条 件 是 类 似 的 。 

。 yp, Uy,eq， 则 ,eq 或 Weg。 

© F(p, U yp,) Eeg, Wo, Ego 
直观 地 讲 ， 这 些 条 件 蕴 涵 4, 的 状态 能 够 说 明 $ 的 哪些 子 公 式 为 真 。 

A, 的 初始 状态 是 包含 p 的 那些 状态 。 关 于 4。 的 迁移 关系 65， 有 (9g，g') ed, SAMY 
下 列 所 有 条 件 都 成 立 : 

© 8 Xteq, Mee’; 

© 8-7 Xweq, Moped’; 

° Ëp Up,eqhyeq, My, Up's 

e (P Ud, eg yeg, WM, Uy.) eq’. 

后 两 个 条 件 的 合理 性 可 由 下 面 的 递归 定律 说 明 , 

PUp, = pa v (wy ^ Xp, U Wo) ) 
(p, U p) = mpa Aah, YX 了 (内 U y,)) 

特别 地 ， 它 们 保证 只 要 某 个 状态 包含 y, Up, ， 随 后 的 状态 就 包含 上 ， 只 要 它们 不 包含 pao 

到 目前 为 止 ， 我 们 所 定义 的 A, 并 不 是 通过 A, 的 所 有 路 径 都 满足 由。 我 们 使 用 附加 的 接 
受 条 件 保证 公式 y, U y, 许诺 的 “最 终 可 能 性 ? 少 ， 即 4。 不 能 永远 停留 在 满足 y, 的 状态 而 不 
曾 得 到 y,。 回 忆 对 图 3-34 的 关于 a U5 的 自动 机 ， 我 们 规定 了 适 过 自动 机 的 路 径 不 以 q3, 
4 ，… 结 束 的 接受 条 件 。 

A, 的 接受 条 件 是 这 样 定义 的 ， 保 证 包含 菜 个 公式 X Uy 的 所 有 状态 最 终 会 跟随 一 个 包 
E y APRA. RMU y,，…, Xr Uy 是 C(4) 中 具有 这 种 形式 的 所 有 子 公式 。 我 们 规定 下 列 
接受 条 件 : 如 果 对 满足 <i<k 的 所 有 i， 该 运行 有 无 限 多 个 状态 满足 (Xi U y,)v w;:， 则 一 
个 运行 是 可 接受 的 。 为 了 理解 这 个 条 件 为 什么 会 达到 预期 效果 ,想像 它 不 成 立 的 情形 。 假 定 
有 一 个 运行 ， 只 有 有 限 多 个 状态 满足 (KU y,)v y,。 越 过 所 有 这 有 限 个 状态 ， 取 该 运行 的 
后 缀 ， 其 所 有 状态 都 不 满足 (GT y,)v y,， 即 所 有 状态 都 满足 (Xi U gb, ^ 一 y,。 这 恰好 是 
我 们 想 消去 的 那 种 运行 。 ` 

如 果 这 种 构造 用 在 aU b 上， 得 到 如 图 3-34 所 示 的 自动 机 。 图 3-36 显示 另 一 个 例子 ， 
关于 公式 (p U gq)v( 一 p U g)。 因 为 该 公式 有 两 个 U 子 公式 ， 接受 条 件 中 说 明了 两 个 集合 ， 
BWE p U q 的 状态 和 满足 ~p Uq 的 状态 

如 何 用 NuSMV 实现 LTL 模型 检测 在 前 面 的 几 节 中 ， 我 们 描述 了 LTL 模型 检测 的 一 
种 算法 。 已 知 LTL 公式 加 ， 系 统 M， 以 及 M 的 一 个 状态 *， 通过 构造 自动 机 4-,。， 将 M 与 其 
结合 ， 并 在 结果 的 系统 中 检测 是 否 存 在 一 条 满足 4_,, 的 接受 条 件 的 路 径 ， 我 们 可 以 检测 AM， 
sF 中 是 否 成 立 。 

用 CTL 模型 检测 可 以 实现 这 样 一 条 路 径 的 检测 ， 而 这 事实 上 就 是 NuSMV 所 做 的 工作 。 
结合 的 系统 /M x A_, ARN NuSMV 中 待 做 模型 检测 的 系统 ， 而 待 检测 的 公式 就 是 EG T, 
于 是 ， 我 们 问 这 样 的 问题 : 结合 的 系统 是 否 有 路 径 。 4-。 的 接受 条 件 隐 含 地 表示 为 这 个 CTL 
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-(pU gq), 
~PU9， 
“P, -gg 





图 3-36 恰好 接受 满足 罗兰 (p U g)v( 一 p U q) 的 迹 的 自动 机 。 无 箭头 的 迁移 是 双向 的 。 
接受 条 件 断言 所 有 运行 必须 通过 集合 fg, ，gs，94，9s ，ge 1 无 限 多 次 ， 
对 集合 | gq,， gd2， q3> qs> qq | 也 是 如 此 


模型 检测 过 程 的 公平 性 条 件 。 明 白地 写 出 来 ， 这 相当 于 对 出 现在 C( 由 ) 中 的 所 有 公式 X Uy, 
断言 “FAIRNESS = (X U y) vw” 


3.7 CTL 的 不 动 点 特征 


在 3.6.1 节 中 ， 提 出 了 一 个 算法 ， 已 知 CTL 公式 6 MRHM=(S, 一, L), WEWE 
中 的 状态 ses3 的 集合 。 将 该 集合 写 为 [[ 由 ]]。 这 个 算法 对 由 的 结构 递归 地 应 用 。 对 于 高 度 
为 1( 上 、T 或 p) 的 公式 由 [[d]] 可 以 直接 计算 。 其 他 公式 由 更 小 的 子 公式 通过 CTL 连接 
词 结合 而 构成 。 例 如 ， 如 果 中 是 几 yy 为 了 得 到 [[y, v y,]]， 该 算法 计算 集合 [ [vy]] 
和 [ [yw] ] ， 然 后 按 特定 的 方式 将 其 结合 (此 时 ， 通 过 取 并 )。 

当 处 理 诸如 EXy 的 涉及 时 态 算 子 的 公式 时 ,会 出 现 更 有 趣 的 情况 。 算 法 计算 集合 
[ [yw] ] ， 然 后 计算 到 [ [Ly] ] 中 一 个 状态 的 迁移 的 所 有 状态 集合 。 这 和 EXy 的 语义 相 一 致 ; 
M, sF EXp 当 且 仅 当 存在 状态 s ,满足 sos'RM, s'E po 

对 大 多 数 这 些 逻 辑 算 子 ， 可 以 容易 地 继续 讨论 ， 该 算法 如 我 们 所 希望 的 那样 工作 。 然 
M, X EU, AF 和 EG 的 情形 ， 推 理 起 来 就 不 那么 明显 了 (此 时 需要 迭代 一 个 特定 的 标记 策 
略 ， 直 到 它 稳定 )。 本 节 的 主题 就 是 发 展 这 些 算 子 的 语义 洞察 ， 为 其 提供 终止 和 正确 性 的 一 
个 完备 证 明 。 考 察 图 3-28 中 的 伪 码 ， 这 些 语句 中 的 大 多 数 不 过 是 根据 CTL 的 语义 做 了 明显 
和 正确 的 事情 。 例 如 ， 当 你 用 p >o, 调用 SAT 时 ， 尝 试 一 下 它 会 做 些 什 么 。 

本 节 的 目的 是 证 明 SAT 和 SAT, WAIL MERE, BNL, 我们 还 将 写 出 过 程 
SATse 并 证 明 其 终止 性 和 正确 性 5?。 图 3-37 给 出 过 程 sar,,, F361 节 中 给 出 的 直观 : 





O 3.6.1 节 通 过 把 EG 由 转换 为 AP 一 由 来 处 理 EG， 但 已 经 注意 到 ， 可 以 直接 处 理 EG。 
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注意 ， 如 果 没 有 后 继 状 态 被 标记 ， 删 除 该 标记 并 将 其 编码 为 标记 集合 与 有 标记 后 继 的 状态 集 
合 的 交 。 





function SATEG (¢) 
/* determines the set of states satisfying EG ¢ */ 
local var X,Y 
begin 
Y := SAT (¢); 
X := 9; 
repeat until X = Y 
begin 
X :=Y; 
Y := Y N pre3(Y) 
end 
return Y 
end 





图 3-37 SAT, ARE 


EGG 的 语义 说 % F EC 成 立 ， 当 且 仅 当 存在 一 条 计算 路 径 s>s >n, fata 
i= 0，s; F 中 成 立 。 我 们 也 可 以 表达 如 下 : EG RU, MRS Mw, HEC 4$ 在 当前 状态 
的 一 个 后 继 状态 成 立 。 这 建议 了 等 价 EG = 由 ^ EX EG 由 ， 由 连接 词 的 语义 定义 这 可 以 容易 
地 证 明 。 | 

观察 [[ EX y]] =pre,({((¥]]), 我 们 看 到 上 面 的 等 价 可 以 写 为 [ [EG $]] =[[$]]n 
prea([[EG $]])。 这 看 起 来 不 像 有 望 计算 EC 由 的 方式 ， 因 为 为 了 计算 等 式 右 边 ， 我 们 需 
要 知道 EG 由 。 幸 和 运 的 是 ， 存 在 一 种 方法 称 为 不 动 点 计算 ， 可 以 绕 过 这 个 表面 看 起 来 的 循环 ， 
而 这 是 本 节 的 主题 。 


3.7.1 单调 函数 


定义 3.22 设 5 是 一 个 状态 集 ，F: P(S) 一 P(S) 是 定义 在 SHELA BR, 

1. 我 们 说 下 是 单调 的 ， 当 且 仅 当 对 5 的 所 有 子 集 X 和 YY, XCY BM F(X) GF(Y)。 

2. S 的 子 集 工 称 为 下 的 一 个 不 动 点 ， 当 且 仅 当 FX) =X, 

Glin, Sis, 5}, AM $ 的 所 有 子 集 Y，F(Y) 举 YU |s | 。 因 为 YCY 荀 涵 了 U 
fso] SY'U {so1 ， 我 们 看 到 下 是 单调 的 。 下 的 不 动 点 是 5 的 包含 s 的 所 有 子 集 。 于 是 ,下 有 
两 个 不 动 点 、 集 合 {so} 和 {so，s | 。 注 意 ， 忆 有 一 个 最 小 ( = {s。1 ) 和 一 个 最 大 ( = |s。，s,|) 
不 动 点 。 

作为 非 单调 函数 6 的 一 个 例子 ， 函 数 C: PCPS EWT: 

G(Y) Sif Y = {so} then{s, } elsejs, | 
故 C 将 1so1 映 为 1s, 1} ， 而 将 所 有 其 他 集合 映 为 so}。 函 数 C 不 是 单调 的 ， 因 为 {s61 Cis, 
si}, fA GC ist) =1s,} RA CC{s, si) = {| MFR, 注意， GC 根本 没有 不 动 点 。 

在 证 明 SAT 正确 性 的 上 下 文中 研究 P(S$) 上 的 单调 函数 的 理由 是 ; 

1. 单调 函数 总 有 一 个 最 小 和 最 大 不 动 点 ; 

2.EG, AF 和 EU 的 意义 可 以 分 别 通 过 P(S) 上 单调 函数 的 最 大 ， 最 小 不 动 点 表示 ， 

3. 这 些 不 动 点 可 以 容易 地 计算 ; 

4. 程序 SATL, 和 SAT,; 编 码 成 这 样 的 不 动 点 计算 ， 而 且 根据 第 2 条 ， 是 正确 的 。 
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记号 3.23 Fr(X) 的 意思 是 
FC F(--F(X)--)) 
i 次 

FE, WRF 就 是 “FF 作用 i 次 ”。 

AW, HFR FOE YU] s}, RNB PCY) = FCF(Y)) =(YU{s,}) Uls} = 
YU fso} =F(Y). RAE, P = 因此 对 所 有 i 二 1，F' =F, RAIF, P, FP, = 
并 不 总 是 以 这 种 方式 稳定 下 来 。 例 如 ， 对 上 面 定 义 的 函数 6， 上 述 情况 不 会 发 生 ( 见 练习 
3.7 的 1(d))。 下 列 事实 是 一 个 基本 结论 (经 常 称 为 Knaster-Tarski 定理 ) 的 特殊 情况 。 

定理 3.24 设 $S 是 有 n+l 个 元 素 的 集合 | so， 5,7, lo BF: PCS) 一 P(S) 是 单调 
BHR, MF ''(O)RFMORDRBAAR, 而 Fr"'!'(S) 是 下 的 最 大 不 动 点 。 

证 明 因为 GCF( 名 ), BBFC O)CF(F(O)), MF(O)CP(O), 因为 是 单 
调 的 。 现 在 ， 可 以 用 数学 归纳 法 证 明 : 对 所 有 izl, 

F'(Ø) GE 天 (他 ) EC F(O) G+ ECG F'(@) 

Hh, RiAn+l, 我 们 断定 以 上 的 一 个 表达 式 FPO) EZE FERAS. 否则 ， 
下 ( 作 ) 需 要 至 少 包 含 一 个 元 案 ( 因 为 如 z#F( 名 ))。 同 理 ， 政 (名) 需要 至 少 包含 两 个 元 素 ， 因 
EDR FD) 大 。 继 续 这 个 论证 ， 我 们 看 到 拨 '*( 儿 ) 将 至 少 包含 n+2 个 元 素 ， 这 是 不 可 
能 的 ， 因 为 5 仅 有 n+1 个 元 素 。 因 此 ， 对 某 个 0<sk<n+1, AF(F'(D)) =F), KBR 
蕴涵 严 生 ( 纪 ) 也 是 严 的 一 个 不 动 点 。 | 

现在 假设 XY 是 下 的 另 一 个 不 动 点 ， 要 证 明 POS) E XTE, HB, HFOCK, 
我 们 得 出 结论 F(O)CR(X) = 于 ， 因 为 下 是 单调 的 ， 且 于 是 下 的 不 动 点 。 由 归纳 法 ， 我 们 
得 到 : 对 所 有 ISO, F'(O)CX, MM FiSns+1, 我 们 得 到 "1( 名 ) CX。 

关于 最 大 不 动 点 的 陈述 证 明 与 上 述 证 明 是 对 偶 的 。 只 需 用 2 替换 G， 用 5 替换 名，“ 更 
小 ”替换 “更 大 ”。 口 

关于 单调 函数 下; P(S) 一 P(3$) 的 最 小 及 最 大 不 动 点 存在 性 的 这 个 定理 不 仅 断 言 这 样 的 
不 动 点 存在 ， 而 且 还 提供 一 个 正确 地 计算 不 动 点 的 处 方 。 例 如 ， 要 计算 下 的 最 小 不 动 点 ， 
所 要 做 的 就 是 将 F 作用 到 空 集 名 上 ， 并 将 F 不 断 地 作用 到 结果 上 ， 直 到 结果 在 的 作用 下 
成 为 不 变量 为 止 。 上 面 的 定理 进一步 保证 了 这 个 过 程 肯定 终止 。 此 外 ,假设 $ 有 n+1 个 元 
素 ， 我 们 可 以 为 在 最 坏 情况 下 达到 这 个 不 动 点 所 必需 的 迭代 次 数 确定 一 个 上 界 n +1。 


3.7.2 sav, 的 正确 性 


在 上 一 节 的 末尾 ， 我 们 看 到 [[EG $8]] =([6]] pre, (([EC $]]). RAW EC 6 是 函数 
F(X) =[ [$8]] npres3(X) 的 一 个 不 动 点 。 事 实 上 ,FF 是 单调 的 ，EG 小 是 其 最 大 不 动 点 ， 因 
此 可 以 用 定理 3. 24 计算 EG ġo 

定理 3.25 设 尺 定 义 如 上 ，S 有 Pm+1 个 元 素 ， 则 瓦 是 单调 的 ，[[EG 由 ]] 是 下 的 最 大 
不 动 点 ， 且 [[EG ]] =F"*'(S), 

iE AA 

L 为 证 明 FF 是 单调 的 ， 取 5 的 任意 两 个 子 集 X 和 Y， RE XCY, BBW F(X) F(Y) 的 子 集 。 给 
E s。， 和 使 得 存在 某 个 se X WE ss, RA s>s, Hp 5 Ez， 因 为 互 是 了 的 子 集 。 于 是 ， 我 们 证 明 
了 prea(X) Cprea(Y)， 由 此 容易 得 到 F(X) =[[$]]npres(X)C[[$]]Nnprey(Y) =F(Y)。 

2. 我 们 已 经 看 到 [EG $9] 是 FF 的 不 动 点 。 为 证 明 它 是 最 大 不 动 点 ， 只 需 证 明 满 足 F(X) = 无 的 任意 集合 也 
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必 包 含 在 [[EG 由 ] ] 中 。 故 设 % 是 这 样 一 个 不 动 点 下 中 的 元 素 。 需 要 证 明 s 也 在 [EG 由 ] 中 。 为 此 ， 利 用 事实 
so e X = F(X) = [[]] N pres (X) 
推出 spell o]], BHES s eX, s>s AAs, EXP, PAs, eX=F(X) =[[b] ] Mpre, (X) WA 
相同 的 论证 ， 可 得 到 s, e [[$] ] ， 且 对 某 个 s, eX, s>s. MKHSEAMK, TW REBBE 
S598, 1 使 得 对 所 有 i 二 0，s,e [[$g]]。 由 [[EG $] ] 的 定义 ， 这 就 导出 soe [ [EG $]]。 
3. 现在 ， 最 后 一 个 结论 可 由 前 面 的 结论 和 定理 3. 24 直接 得 到 。 口 
现在 我 们 可 以 看 到 过 程 SATse 的 编码 正确 ， 而 且 可 终止 。 首 先 ， 注 意 过 程 SAT (图 3-37) 
PAT Y= YO pres (Y) TAKA Y= SAT($) mprei (了 ) ， 而 不 改变 程序 的 效果 。 为 了 看 到 
这 一 点 ,在 第 一 次 循环 时 ,了 是 SAT($) 在 随后 的 循环 中 ，YC Sar( 由 )， 故 用 了 还 是 用 
SAT($) 作 交 无 关 紧 要 92。 有 了 这 个 改变 ， 显 然 SAT REHA 严 的 最 大 不 动 点 。 因 此 ， 其 
正确 性 由 定理 3. 25 得 到 。 


3.7.3 SsAT,, 的 正确 性 


证 明 sAT,, 的 正确 性 是 类 似 的 。 开 始 ， 我 们 注意 等 价 E[[$p U y]]=y V(6 4 EXEL [$ U 
#11), #HASACLELO U yw]]]=[[yw]]jU(I[$g]]nprea[[E[g$ Uw]]])。 它 告诉 我 们 
[LE[$ U yy]]] 是 函数 G(X) =[[y]]U([[$]] npres(X) ) 的 不 动 点 。 和 前 面 一 样 ， 可 以 
证 明 这 个 函数 是 单调 的 。 结 果 表 明 [ [Ef$ Uy] BHR DAMA, BH SAT,, 实 际 上 是 按 
照 定理 3. 24 的 方式 计算 。 

定理 3.26 设 G 定 义 如 上 ,5 有 n+l 个 元 素 ， 则 C 是 单调 的 ，[[E($8 Uw)]] 是 6 的 
最 小 不 动 点 ， 且 [[E($ Uy)]] =C). 

证 明 

1. 我 们 还 需 证 明 XCY BM G(X) CG(Y); 而 这 与 对 严 的 证 明 本 质 上 是 一 样 的 ， 因 为 将 互 映 为 
pres (X) 的 函数 是 单调 的 ， 而 现在 6 所 做 的 只 不 过 是 实施 该 集合 与 常量 集合 [ [4$] ] 和 [ [yw] ] 的 交 和 并 。 

2. BSA n+l 个 元 素 ， 则 由 定理 3.24，6 的 最 小 不 动 点 等 于 C"*!( 儿 ) 。 因 此 ， 只 需 证 明 这 个 集合 等 





O ”如 果 你 有 所 怀疑 ， 试 着 计算 值 Yh。，Y, ，Y, ，…， 其 中 Y, 表示 了 做 站 次 循环 迭代 后 的 值 。 在 改变 之 前 ， 程序 计算 如 下 : 
Yo =SAT($) 
Y, =Y, N prea (Yo) 
Y, =Y, N prea (Y,) 
=% N prez (Yo) N pres (Yo N pres (Yo)) 
=Y, N prea (Yo n pre; (Yo)) 
最 后 一 个 等 式 由 pre3 的 单调 性 得 到 。 
Y, =Y, N pre; (¥,) 
=Y, N prea (Yo N preg (70)) N pres (Yo N pres (Yo N pres (Yo))) 
=Y, N pres (Yo N prez (Y, N pre; (Yo) ) 
最 后 一 个 等 式 仍然 由 单调 性 得 出 . 现在 看 在 做 了 改变 之 后 , 程序 做 了 些 什么 : 
Y, =SAT($) 
Y, =SAT($) N pres (Y,) 
=Y¥) N prea (Yo) 
Y, =Y, N pre; (Y,) 
Y, =Y, N pre (Y,) 
=Y N pre; (Yo N prez (Y,)) 
形式 证 明 可 对 i 应 用 归纳 法 得 到 。 
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F[[EC U yy) ] ]。 简 单 地 观察 一 下 由 6 重复 地 作用 在 空 集 儿 上 能 得 到 什么 状态 就 行 了 : 6'(O) =[[yw]] 
urfdjlnpres([[G]J])) =[[w]]UCI[P]]N@) =[[y]]UG [iyl], 它 是 所 有 的 状态 soe[[E($ 
Up) ] ] ， 此 处 我 们 根据 Until 的 选择 i=0。 现 在 

CD) = [[#]] u (Ep]] N pre, (0'(@))) 
GC" ( 名) 的 元 素 就 是 我 们 选择 i<1 的 s。e [[E(4$ Uy)]]。 由 数学 归纳 法 ， 我 们 看 到 C (名) 是 所 有 状态 s HH 
A, 为 了 保证 so。e [[E(PUY)]], 我 们 选择 i<k。 因 为 这 对 所 有 成立 ， 我们 看 到 [[E($ Uy) ]] 不 过 就 是 所 有 
集合 CUSE k>0), 但 因为 6"*'( 名 ) 是 6 的 不 动 点 ， 我 们 看 到 这 个 并 就 是 CD). O 

SAT pv $405 IE PAVE TE ZR SAT, ATRL. HEAR Y= YU (WN pre, (Y)) 48 Yr = Sar 
(Y) U (到 mprei (了 ) ) ， 且 观察 到 这 并 不 改变 过 程 的 结果 ， 因 为 第 一 轮 循环 , 了 是 sat(y). 
由 于 了 总 是 递增 ， 用 了 或 用 SAT(y) 做 并 没有 什么 差别 。 做 了 这 个 改变 后 ， 显 然 SAT,, 就 是 
应 用 定理 3. 24 计算 的 6 的 最 小 不 动 点 。 

我 们 通过 一 个 例子 说 明 关 于 函数 屎 和 6 的 上 述 结 果 。 考 虑 图 3-38 中 的 系统 。 从 计算 集 
合 [[EFp]] 开 始 。 由 了 F 的 定义 ， 这 就 是 [[E(T Up)]]。 故 有 由 STA d, =p, HE 3-38 
得 到 [ [p]] = |s} ， 当 然 有 [[T]] =S. FÆ, LERA CSF C(X) ={s,] Upres (X), K 
为 [[E(T Up)]] 等 于 6 的 最 小 不 动 点 ,需要 对 名 办 代 地 作用 6， 直 到 这 个 过 程 稳定 为 止 。 
EE, CØ) ={s,} Upres(D) = 15 。 其 次 , C(D) =6(6'(B)) = {s,} Upre; ({s,}) 
=15,, slo B=, ©(D) =6(6(BD)) ={s,} Upres(1s,, os) = 15, s, 5, 540 $ 
四 , (Ø) =6(6(D)) = {s,} Upres (fso, sis 52, 831) = 15, Si, s2, sto 因此 ，{s,， 
so 2, S| 是 6 的 最 小 不 动 点 ， 由 定理 3.20， 它 等 于 [[E(T U p)]]。 但 这 样 就 得 到 [[E(T 
Up)]] =[[EFp]]。 

我 们 要 研究 的 另 一 个 例子 是 计算 集合 [[EGg] ] 。 由 定理 3.25， 该 集合 是 上 述 函 数 下 的 
RATIA, Ho =. HA 3-38， 我 们 看 到 [[g]] =1s,, s}, RF(X) =[[9]]n 
prez (X) = {so, s} mprea (X)。 因 为 [[EGq]] 等 于 FF 的 最 大 不 动 点 ,需要 对 5 迭代 作用 下， 
直到 这 个 过 程 稳定 下 来 。 首 先 ， 瓦 (5) ={5, 54} nprea(S) = 1s,。，ss} NS， 因为 所 有 s 都 有 
RAs, WER ss’, FE, F'(S) ={5,, slo 





图 3-38 一 个 系统 ， 计 算 其 不 变量 


其 次 ， F’(S) =F(F'(S)) = fso， s4} N pre; (fso, ssf) = |so， Sato 因此 ， fso, 34 | 是 下 
的 最 大 不 动 点 ， 由 定理 3.25， 它 等 于 [ [EG 9] ]。 


3.8 习题 
练习 3. 1 
1. 若 你 还 没有 阅读 2.7 节 ， 请 阅读 它 ， 然 后 根据 3. 1 节 所 提出 的 形式 方法 的 分 类 准则 ， 为 
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Alloy 及 其 约束 分 析 器 进行 分 类 。 
2. 访问 并 浏览 网 站 ”， 找 出 你 感 兴趣 的 (任何 原因 ) 形 式 方法 。 然 后 根据 3. 1 节 的 准则 对 其 分 类 。 


练习 3. 2 


. BY PS LTL 公式 的 语法 分 析 树 : 
(a)Fpr°’Gqo>pWr 
(b)F(p->+G r)v7qUp 
(c)p W(qWr) 
(d)G F p+F(q ys) 
. 考虑 图 3-39 的 系统 。 对 下 列 所 有 公式 o: 
(a)Ga 
(b)a Ub 
(c)a U X(aa7b) 
(d)X 7bAG(7av7b) 
(e)X(a A b)AF(7a47— 5) 
(i) 找 一 条 由 初始 状态 o 出 发 并 满足 由 的 路 径 。 


qı 92 


— 


N 


43 qa 
图 3-39 一 个 模型 


(i) EM, p E BARI. 
3. 用 定义 3. 6 中 的 语句 证 明 下 列 等 价 ; 
bUP=dWHAFY 
$WP=GUYvCd 
pWy=yR(bvy) 
pbRy=y Wy) 
.证明 bp Uy=yR(Gvy)AFyY。 
- 列 出 LTL AR p U(F ry © > gq Wr) RA FAR, 
. 从 “道义 "上 讲 ， 应 该 存在 W 的 一 个 对 偶 。 解 释 其 含义 应 该 是 什么 ， 然 后 基于 这 个 含义 的 
第 一 个 字母 为 它 选择 一 个 符号 。 
7. 证 明 对 所 有 模型 的 所 有 路 径 ow, TE WY AF 蕴涵 7 上 -四 Uw。 即 证 明 等 价 式 (3-2) 的 
剩 下 一 半 。 
8. 回顾 1.5 节 的 算法 NNF， 它 计算 命题 逻辑 公式 的 否定 范式 。 将 此 算法 扩展 到 LL: BEY 
附加 的 连接 词 X，F，G 以 及 U，R 和 W 添加 程序 语句 。 这 些 语句 必须 激活 在 本 节 中 提出 


mm 
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的 语义 等 价 。 
练习 3. 3 


1. 考虑 图 3-9 中 的 模型 。 
“(a) 验 证 G(req ->F busy) 在 所 有 初始 状态 下 成 立 。 
(b) 在 该 模型 中 的 所 有 初始 状态 下 ， 一 (reqU 一 busy) 是 否 成 立 ? 
(c) 通 过 写 next(v), NuSMV 能 够 参考 一 个 声明 变量 v 的 下 一 个 值 。 考 虑 由 图 3-9 中 的 
模型 移 去 状态 ! req & busy 上 的 自 循环 所 得 到 的 模型 。 使 用 NuSMV 的 特性 next(…) 将 
这 个 修改 的 模型 编码 为 具有 规范 G(req ->F busy ) 的 一 个 NuSMV 程序 。 然 后 运行 它 。 
2. 验证 评注 3. 11。 
“3. 面 出 由 ABP 程序 描述 的 迁移 系统 。 | 
评注 : ABP 程序 有 28 个 可 达 状 态 。( 考 察 该 程序 ， 可 以 看 到 这 些 状态 由 9 个 布尔 变量 所 描 
述 ， 即 S.st, S.messagel, S.message2, R.st, R.ack, R. expected, msg _ 
chan. outputl, msg_ chan.output2 和 ack_ chan.output, Alk, BHA 2° = 
512 个 状态 。 然 而 ， 其 中 仅 有 28 个 能 从 初始 状态 出 发 ， 通 过 一 条 有 限 路 径 到 达 。) 
如 果 你 从 消息 的 内 容 抽象 出 来 (例如 将 S. messagel 和 msg_ chan. outputl 置 为 常量 
0) ， 那 么 就 仅 有 12 个 可 达 状 态 。 这 就 是 要 求 你 画 出 的 系统 。 


练习 3. 4 


1. 写 出 下 列 CTL 公式 的 语法 分 析 树 : 
“(a)EG r 
*(b) AG(q-EG r) 

“(c) Alp U EF r] 

*(d)EF EG p>AF +r， 回顾 约定 3. 13 
(e)A[pU AlqUr]] 
(f)ELA[p U q]Ur] 
(g)AG(pA[p U(>prAl—-pUgq]))]). 

2. 请 解释 为 什么 下 列 式 子 不 是 合式 CTL 公式 : 
“(a)F Gr 
(b)X Xr 
(c)A7G4p 
(d)F[r U q] 

(e)EXXr 
*(f) AEF r 
“(g)AF[(r U g)A(pUr)]. 

3. BUR FIM E Sp BAAR CTL 公式 。 对 于 那些 合式 CTL 公式 ， 画 出 语法 分 析 树 。 对 计 
那些 不 是 合式 公式 的 式 子 ， 说 明 原 因 。 
(a) 一 (一 P)vGr^3) 

(b)X q 
“(c)7 AX q 
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(d)p U(AX L) 

*(e)EL (AX g)U(7(~p)v(TAs))] 

“(f) (Fr) ACAG q) 

(g) 7(AG gq) V(EG 9)。 
“4. 列 出 公式 AG(p 一 4[p U7 pr A[ 一 p U gq])]) 的 所 有 子 公式 。 
5. 在 图 3-9 中 模型 的 所 有 初始 状态 下 ， 公 式 E[ req U 一 busy ] 是 否 成 立 ? 
6. 考虑 图 3-40 中 的 系统 M。 





图 3-40 具有 4 个 状态 的 模型 


(a) 从 状态 so。 开始 ， 将 此 系统 展开 成 无 限 树 ， 并 画 出 长 度 到 4 为 止 的 所 有 计算 路 径 ( = 该 
树 的 前 四 层 ) 。 l 
(b) BEM, sE pM, s F 中 是 否 成 立 ， 并 给 出 你 的 理由 ， 此 处 由 是 LITL 或 CTL AR: 
*(i) 7 por 
(ii) F ¢ 
* (iii) 7 EG r 
(iv) E[t U q] 
(v)Eq 
(vi) EF 9 
(vii) EG r 
(vili)GCr v q) 
7. BM =(S, >, L) Æ CTL HERRE, H[[(O]]RAEBM, sq 的 所 有 seS 的 集 
合 。 通 过 考察 定义 3. 15 的 语句 ， 证 明 下 列 集合 等 式 。 
“(a)[(T]] =S 
(b)[[L]] =Ø 
(e)[[7¢]] =S-[[o]] 
(d)[(¢,4¢,]] =[[é,]]N([¢,]] 
Celie yol] =[[¢, J] ULL ¢,]] 
“([1¢,7¢,]] = (S-£0¢,]]) ULL é)] 
“(g) [[AX ¢]] =S-[[EX > 4]] 
(h) LL AC, U ġa) ll =[[7(E(7 p, UC $, 47 $,)) YEG 4,) J]. 
8. 考虑 图 3-41 所 示 模 型 M。 对 下 列 CILAR 6, PHIM, s, Eb AIM, s, F 中 是 否 成 立 : 
(a) AF q 
(b) AG(EF(p v r)) 
(c) EX(EX r) 





通过 棋 型 检测 进行 验证 165 


"aR an” 


SS 


3-41 A-TA4TRENRA 


(d) AG(AF q). 

“9. LIL 中 的 时 态 算 子 R，G 和 1U 以 及 CTL PRNARF AU, EU, AG, EG, AF 和 EF KHS 
义 使 得 “现在 包括 未 来 ”。 例 如 ，EF p 关于 一 个 状态 是 真 的 ， 如 果 p 关于 该 状态 已 经 是 真 
的 。 人 们 经 常 需要 对 应 的 算 子 使 得 现在 不 包含 将 来 。 使 用 3.4 节 的 语法 的 合适 连接 词 ， 
定义 这 样 的 (六 个 ) 修 饰 连接 词 作为 CTL 中 的 导出 算 子 。 

10. 下 列 CTL 公式 对 中 哪些 是 等 价 的 ? 对 那些 不 等 价 的 公式 对 ， 给 出 一 个 模型 ， 使 得 它 是 其 
中 一 个 公式 对 的 模型 ， 但 不 是 另 一 对 公式 的 模型 ; 
(a) EF 中 和 了 C 中 
“(b)EF $ V EF y AEF(¢ y y) 
“(c)AF $v AF y A AF(¢ V y) 
(d)AF 一 中 和 一 EG 中 
“Ce)EF > $ film AFY 
(DALA U Ald, U p]IM ALAL G, U $,]U $,]， ER: 若 先 考虑 仅 有 一 条 路 径 的 模型 ， 
可 能 会 使 问题 更 简单 些 。 
(g) THI AG 由 一 EG 由 
“(h)T 和 EG 由 一 AG 由 
11. 找 出 代替 ? 的 算 子 ， 使 得 下 列 等 价 成 立 : 
Ca) AG(h Aw) =AC 6? ACY 
(b)EF = $6=77? oo 
12. 明确 地 陈述 3.4.5 节 定 义 的 AR 等 时 态 连接 词 的 意义 。 
13. HEAR 3.4.4 节 的 等 价 式 (3-6) 。 

“14. 写 出 递归 函数 TRANSLATE 的 伪 码 ， 该 函数 以 任意 CTL 公式 中 作为 输入 ， 并 且 作 为 输出 

返回 一 个 算 子 仅 取 自 于 集合 1 上， ，^，AF，EU，EX| 的 等 价 CTL 公式 yo 


练习 3. 5 


1. 只 要 可 能 ， 将 下 列 性 质 用 CTL 和 LTL 表达 出 来 。 如 果 两 种 表达 都 不 可 能 ， 尝 试用 CTL* 

表达 : 

(a) RE p ERME 9( 在 有 限 步 之 后 ) ， 则 系统 进入 一 个 “区 间 ”， 在 该 区 间 里 没有 +r， 直 
到 :出现 。 

(b) 在 所 有 计算 路 径 上 ， 事 件 p 先 于 s 和 +t。( 你 可 以 发 现 ， 先 编码 这 个 规范 的 否定 会 容 
易 些 。) 

(c) 在 P 之 后 ,4 永 不 为 真 。( 此 处 ， 这 个 约束 意味 着 应 用 于 所 有 计算 路 径 。) 

(d) 在 事件 g 和 7 之 间 ， 事件 p 永 不 为 真 。 
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(e) 到 满足 p 的 状态 的 迁移 最 多 发 生 两 次 。 
“(人 ) 沿 一 条 路 径 的 所 有 第 二 状态 ， 性 质 p 为 真 。 
2. 详细 解释 为 什么 3. 2 节 和 3. 4 节 关 于 实际 规范 模式 的 LTL 和 CTL 公式 抓 住 了 用 直 白 语言 
所 陈述 的 “ 非 形式 ”性 质 的 要 点 。 
3. 考虑 LTLZCTL 公式 的 集合 厂 = {F poF q, AF p—AF q, AG(p-AF q)}, 
(a) 是 否 存在 一 个 模型 ， 使 该 模型 中 所 有 公式 都 成 立 ? - 
(b) 对 所 有 pe 大， 是 理 存 在 一 个 模型 ， 使 得 由 是 大 中 满足 该 模型 的 唯一 公式 ? 
(c) 寻 找 一 个 模型 ， 使 得 在 该 模型 中 ， 和 关中 的 所 有 公式 都 不 成 立 。 
4. 考虑 CTL 公式 AG(poAF(s ^ AX( AF 1) ) )。 根 据 事件 p，s 和 + 的 发 生 顺 序 ， 解 释 它 所 表 
达 的 精确 含义 。 

5. 将 1.5 节 计 算命 题 逻 辑 公 式 否 定 范式 的 NNF 算法 扩展 到 CTL’, WH CTL’ 是 通过 两 个 语 
法 范畴 (状态 公式 和 路 径 公 式 ) 定 义 的 ， 这 要 求 对 应 的 NNF 有 两 个 分 离 的 版 本 ， 按 照 3.5 
节 所 给 出 的 CTL ”语法 所 反应 的 方式 互相 调用 。 

. 找 出 能 区 别 下 列 CTL’ 公式 对 的 迁移 系统 ， 即 证 明 它们 不 是 等 价 的 : 

(a) AF Gp 和 AF AG p 

“(b) AG F p #1 AG EF p 
(e)A[(p Ur)v(g Ur) ] MAL (pv q)Ur] 

“(d)ALX pv X X p] il AX p Vv AX AX p 
(e)E[G F p] EG EF p, 

7. 在 3.5.1 节 引入 的 从 路 径 公 式 的 带 有 布尔 组 合 到 简单 CTL 公式 的 转换 是 不 完备 的 。 为 下 

列 公式 构造 等 价 的 CTL 公式 : 
“(a)E[F pa(qUr)] 
“(b)E[FprGq]. 

按 这 种 方式 ， 我 们 处 理 所 有 形 如 E[$ 人 ^ 光 ] 的 公式 。 形 如 E[$ yy BARTURA E 
[oly Ely], 而 A[$] 可 以 写 为 ~-E[ 一 $8]。 利 用 这 个 转换 将 下 列 公 式 写 成 CTL 公式 ， 
(c)E[(pUqg)^Fp] 

'(d)A[(pUqg)^Gp] 
“(e)A[F pF q] 

8. 这 个 练习 的 目的 是 证 明 在 最 后 一 节 末 尾 所 给 出 的 关于 AW 的 展开 ， 即 A[p Wg] = 

“ElggU~(pYg)]。 

(a) 证 明 下 列 LTL 人 二 有 条 的 (四 在 任意 模型 的 任何 状态 下 者 是 真 的 ) 

(i) > q U(>pA>q)>-Gp 


a 


Gi)G =q AF 7 po 7qU (pang) 
(b) 用 德 摩根 定律 和 LIL 等 价 -($ U y)=( yU pan f)) v7 F y 展开 -((p Ug)v Gp). 
(c) 应 用 你 的 展开 和 上 面 的 事实 (i) MG), 证 明了-((pUg)vGp)=-gU-~(p^g), 并 
由 此 证 明 以 上 的 AW 的 展开 是 正确 的 。 


练习 3. 6 


“1. 对 图 3-11 中 所 给 出 的 迁移 系统 ， 验 证 3. 3. 1 节 给 出 的 安全 性 、 活 性 、 无 阻 人 性 、 非 严格 顺 
序 性 公式 。 它 们 中 哪 一 个 需要 图 3-10 中 的 SMV 程序 的 公平 性 限制 ? 





DS 


hag 


a 


oO 


10 


14. 


"15. 


& 


1. 
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对 图 3-10 的 SMV 程序 ， 尝 试 写 一 个 CTL 公式 ， 使 得 它 同 时 保证 了 无 阻 人 性 和 非 严格 顺 
序 性 。 

利用 标识 算法 检测 图 3-7 中 互 斥 模型 中 的 公式 p p $: 和 路。 

利用 标识 算法 检测 图 3-8 中 互 斥 模型 中 的 公式 p, pr, d, 和 由。 


- 证 明 式 (3-8) 在 所 有 模型 中 都 成 立 。 你 的 证 明 是 否 要 求 对 所 有 状态 *， 都 存在 某 个 状态 ;'， 


满足 ;一 s'? 
考察 标识 算法 的 定义 ,解释 如 果 你 对 公式 p ^ 一 p 应 用 它 ( 任 意 模 型 ， 任 意 状态 ) 会 发 生 
什么 ? 


- 修正 3. 6 节 的 SAT 伪 码 : 为 AG p, 写 一 个 特殊 例 程 ， 而 不 是 用 其 他 公式 S 重 写 它 。 
"8. 基于 3. 6. 1 节 中 给 出 的 关于 删除 标识 的 描述 ， 写 出 sar, we. , 
“9 画 出 一 个 关于 互 斥 的 迁移 系统 ， 保 证 两 个 进程 按 严格 顺序 进入 其 关键 段 ， 并 证 明 6, 在 其 


初始 状态 为 假 。 

. 使 用 状态 与 CTL 公式 之 间 F 的 定义 ， 解 释 为 什么 *F AG AF 小 意味 着 沿 以 * 开始 的 所 有 
路 径 ， 由 无 限 多 次 为 真 。 

- 证 明 CTL 公式 在 一 条 计算 路 径 % 一 5 一 9 一 … 上 的 无 限 多 个 状态 下 为 真 ， 当 旦 仅 当 对 
MA n=0, FERA men, Bs Eoo 

.对 一 些 例子 运行 NuSMV 系统 。 试 着 挑选 出 或 删除 某 些 公平 性 限制 ， 如 果 可 行 ， 观 察 
NuSMV 生成 的 反例 。NuSMYV 非常 容易 运行 。 

. 在 一 位 信道 中 ， 有 两 个 公平 性 约束 。 可 以 将 其 写 为 单一 的 形式 : 在 running 和 长 公式 
之 间 插 人 一 个 “&”， 或 者 可 以 将 长 公式 一 分 为 二 ， 并 将 三 个 公平 性 约束 合并 为 一 个 。 

一 般 地 ， 单 一 的 公平 性 约 东 由 ,人 四 ,人 ^… 人 中 ,和 个 公平 性 约束 p, d, =, 中 , 之 间 有 
何 差别 ? 写 出 一 个 带 有 公平 性 约束 a & b 的 SMV 程序 ， 它 不 等 价 于 两 个 公平 性 约束 a 和 
b。( 可 以 用 四 行 SMV 实际 做 到 这 一 点 。) 

解释 用 于 表达 进程 不 需 按 严格 顺序 进入 其 关键 段 的 公式 6, 的 构造 。 它 是 否 依赖 于 安全 
性 质 由 成 立 的 事实 ? . 

已 知 公平 性 约束 由 图 3-10 中 的 代码 给 出 ， 计 算 图 3-11 的 E.G 工 标记 。 

习 3.7 

考虑 函数 

H,, H,, Hy: P({1, 2, 3, 4, 5, 6, 7, 8, 9, 10} )—P( {1, 2, 3, 4, 5, 6, 7, 8, 

9, 10}), 


对 所 有 YC, 2, 3, 4,5, 6,7, 8,9, 10}, BRIBE V® 
H,(Y) SY- {1,4,7} 


H, (Y) ={2,5,9] - Y 
H, (Y) =11,2,3,4,5} N (12,4,8} U Y) 


“〈a) 这 些 函数 中 哪些 是 单调 的 ， 哪 些 不 是 ? 对 所 有 情形 ， 给 出 你 的 答案 的 理由 。 
“《b) 对 i=1，2，…， 使 用 选 代 Hy 及 定理 3.24， HE H, 的 最 小 和 最 大 不 动 点 。 








O 问题 : 你 的 例 程 更 像 AF 的 例 程 , 还 是 像 3.6 HREM EC 的 例 程 ? 为 什么 ? 
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(c)H, 是 否 有 不 动 点 ? 
(d) 回 忆 如 下 定义 的 6G: PC ls, s:}) PCI s, s1)): 
G(Y) Sify = {sy} then fs; | else{ so | 
用 数学 归纳 法 证 明 : MAAR isl, SFC, WAM, C 是 什么 样子 ? 


"2. 设 4 和 B 是 5 的 两 个 子 集 ， 且 : P(S) 一 P(S) 是 单调 函数 。 证 明 : 


(a)F,: P(S) 一 P(S) 是 单调 的 ， Hp F,(Y)=ANF(Y); 
(b)F,: PXS) 一 P(S) 是 单调 的 ， 其 中 F,(Y)=AU(BNF(Y)). 


. 利用 定理 3.25 和 3.26 计算 下 列 集合 (依赖 的 模型 在 图 3-42 中 ): 


(a)[[EFp]] 
(b)[[EGq]] 








图 3-42 另 一 个 系统 ， 计 算 其 不 变量 


. 应 用 函数 F(X) =[[p]] Uprey(X) 证 明 [[AF $891] 是 的 最 小 不 动 点 。 由 此 论证 过 程 


SAT, IEAM RAIL. 


“5. 也 可 以 直接 计算 AG p 作为 不 动 点 。 考 虑 函数 H: P(S) 一 P(S), H(X) =[[$]]n 


prev〈X)。 证 明 互 是 单调 的 ， 且 [[AG $8]] 是 如 的 最 大 不 动 点 。 使 用 这 个 思路 写 一 个 过 程 


SAT ,¢0 


类 似 地 ， 作 为 一 个 不 动 点 ， 直 接 计算 ALO, Ud], MK: P(S)>P(S), 其 中 K(X) = 


[[$,]]U(L[g,]] nprey (XX))。 证 明天 是 单调 的 ， BILALA, U $1]]] 是 KK 的 最 小 不 动 
点 。 使 用 这 个 思路 写 一 个 过 程 SAT,,。 使 用 该 例 程 ， 是 否 处 理 形 如 AF 6 的 所 有 调用 ? 


- 证 明 [ [A[ gg U p11] =( [ob V(b, 4 AX(AL 6, U $1))]1]。 
. 证 明 [[ AG 6) ] =[[6* AXCAG $) J]. 
- 证 明 SATs, 和 SATs。 的 代码 中 所 有 的 重复 语句 总 是 终止 的 。 使 用 这 个 事实 非 形式 推理 : 对 


一 切 有 效 的 CTL 公式 o, ERR SAT 都 终止 。 注 意 ， 一 些 子 句 (如 关于 AU) 用 更 复杂 的 
公式 递归 地 调用 SAT。 为 什么 这 不 影响 终止 性 ? 


.9 文献 注释 
时 态 逻 辑 是 由 哲学 家 A. Prior 在 20 世纪 60 年 代 发 明 的 ; 他 的 逻辑 与 我 们 现在 所 说 的 LTL 


类 似 。 时 态 逻 辑 对 并 行程 序 推理 的 首次 应 用 由 A. Pnueli[ Pnu81] 给 出 。CTL 逻辑 由 E. Clarke 
和 E. A. Emerson( 在 20 世纪 80 年 代 早 期 ) 所 给 出 ，CTL* 是 由 E. A. Emerson 和 了 Halpern( 在 
1986 年 ) 为 统一 CTL 和 LTL 而 提出 。 


CTL 模型 检测 由 E. Clarke 和 E. A. Emerson[ CE81] 以 及 J. Quielle 和 J. Sifakis [ QS81 ] 提 


出 。 我 们 所 描述 的 LTL 模型 检测 方法 由 M. Vardi 和 P. Wolper[ VW84] 所 给 出 。 这 些 思想 的 一 
些 概 述 可 在 [CGL93 ] P CGP99 ] 中 找到 。 关 于 CTL 连接 词 适当 集 的 定理 是 在 [ Mar01] 中 证 
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明 的 。 

原始 的 SMV 系统 是 由 kK. MeMillan[ MeM93 ] 完成 的 ， 从 卡耐基 梅 隆 大 学 ?可 获得 源 代 
码 。NuSMVS 是 一 个 重新 实现 ， 由 Trento 的 A. Cimatti 和 M. Roveri 所 开发 ， 目 的 在 于 可 定制 
和 可 扩展 。 在 该 站 点 上 可 以 找到 关于 NuSMYV 的 丰富 文档 。NuSMYV 所 支持 的 系统 描述 语言 与 
CMU SMV 基本 上 相同 ， 但 它 有 一 个 改进 的 用 户 接口 以 及 种 类 更 多 的 算法 。 例 如 ，CMU SMV 
只 检验 CTL 规范 ， 而 NuSMV 支持 LTL 和 CTL, NuSMV 实现 了 有 界 模式 检测 [BCCZ99 ] 。 
Cadence SMVS 是 全 新 的 模式 检测 器 ， 重 点 在 于 用 复合 系统 和 抽象 作为 解决 状态 爆炸 问题 的 
方法 。 它 也 是 由 K. McMillan 开发 的 ， 其 描述 性 语言 与 原始 的 SMV 相似 ,但 有 很 多 扩展 。 

M. Dwyer, G . Avrunin, J. Corbett 和 工 . Dillon 维护 着 一 个 网 站 ”， 汇 集 了 经 常 使 用 在 各 种 
框架 下 (诸如 CTL，LTL 以 及 正则 表达 式 ) 的 规范 模式 。 

模式 检测 的 当前 研究 课题 包括 : 为 了 减少 状态 爆炸 问题 的 影响 ， 试 图 探索 抽象 、 对 称 性 
和 复合 性 [CGL94，Lon83，Dam96 ] 。 

适合 异步 系统 使 用 的 模式 检测 器 Spin 基于 时 态 逻 辑 LTL， 可 以 在 Spin 的 网 站 S 上 找到 。 
一 个 基于 进程 代数 CSP 的 称 为 FDR2 的 模式 检测 器 也 是 可 用 的 S。 

爱丁堡 Concurrency Workbench® 和 北 卡 罗 来 纳 的 Concurrency Workbench? RA FIRA 
统 设 计 和 分 析 的 类 似 软件 工具 。 一 个 用 于 并 发 软件 验证 的 可 定制 且 可 扩展 的 模块 模型 检测 框 
架 的 例子 是 Bogore 。 

关于 反应 系统 验证 方面 有 许多 教科 书 ， 我 们 推荐 [ MP91，MP95 ，Ros97，Hol90 ] 。 本 章 
中 的 SMV 代码 可 以 从 www. cs. bham. ac. uk/research/lics/ FR. 





www. cs. cmu. edu/ ~ modelcheck/ 

nusmy. irst. ite. it 

www- cad, eecs. berkeley. edu/ ~ kenmemil/ 
patterns. projects. cis. ksu. edu/ 

netlib. bell- labs. com/netlib/spin/whatispin. html 
www. fsel. com. fdr2_ download. html 

www. des. ed. ac. uk/home/ewb 


www. cs. sunysb. edu/ ~ cwb 


Seeseaeenno 


http: //bogor. projects. cis. ksu. edu/ 





第 4 章 程序 验证 


前 一 章 的 方法 适合 于 验证 通信 进程 的 系统 ， 这 种 系统 中 控制 是 主要 问题 ， 但 没有 复杂 教 
据 。 我 们 依据 的 事实 是 这 些 ( 抽 象 后 的 ) 系统 处 于 有 限 的 状态 。 对 于 运行 于 单个 处 理 器 上 的 
顺序 程序 (这 是 本 章 的 主题 ) ， 这 些 假设 是 无 效 的 。 在 这 些 情 况 下 ， 程 序 可 以 操作 非 平凡 数 
据 ， 一 旦 允许 类 型 为 整数 、 表 或 树 的 变量 ， 我 们 就 进 人 了 具有 无 限 状 态 空间 的 机 器 领域 。 

根据 上 一 章 开 始 时 所 给 出 的 验证 方法 分 类 ， 本 章 的 方法 是 : 

基于 证 明 的 。 我 们 不 会 像 模型 检测 时 那样 穷尽 地 检验 系统 可 以 进入 的 所 有 状态 。 在 已 知 
程序 变量 可 以 有 无 限 多 个 交互 值 的 情况 下 ， 这 样 的 穷 举 检验 是 不 可 能 的 。 取 而 代 之 ， 我 们 使 
用 一 种 证 明 演算 构造 系统 满足 所 需 性 质 的 一 个 证 明 。 这 与 第 2 章 中 的 情形 类 似 ， 使 用 一 种 适 
当 的 证 明 演算 ， 避 免 为 证 明 一 个 矢 列 的 有 效 性 ， 必 须 检验 一 个 谓词 慑 辑 公式 集 的 无 限 多 个 模 
型 的 问题 。 

半自动 的 。 尽 管 在 证 明 一 个 程序 满足 其 规范 时 所 涉及 的 很 多 步骤 是 机 械 的 ， 但 仍 有 某 些 
步骤 涉及 一 些 智力 因素 ， 不 能 用 计算 机 实施 算法 。 如 我 们 将 看 到 的 ， 经 常 有 好 的 启发 性 思路 
帮助 程序 员 完 成 这 些 任务 。 这 与 前 一 章 的 完全 自动 化 形成 了 对 比 。 

面向 性 质 的 。 像 前 一 章 一 样 ， 我 们 检验 程序 的 性 质 ， 而 不 是 检验 其 行为 的 完全 规范 。 

应 用 领域 。 本 章 的 应 用 领域 是 顺序 变换 程序 。“ 顺 序 " 意 味 着 假设 程序 运行 在 单一 的 处 
理 器 上 ， 不 存在 并 发 问题 。 “变换 "是 指 程序 获得 一 个 输入 ， 经 过 一 些 计 算 后 ， 期 望 在 产生 
一 个 输出 后 能 终止 。 例 如 ，Java 中 的 对 象 方法 经 常 是 按 这 种 风格 编程 的 。 这 与 前 一 章 所 关注 
的 反应 式 系统 形成 对 比 ， 后 者 并 不 预期 终止 ， 而 且 与 环境 持续 地 进行 交互 。 

开发 前 /后 。 在 编写 实施 可 识别 (因此 也 是 可 规范 的 ) 任 务 的 小 程序 片段 代码 的 过 程 中 可 
以 使 用 本 章 的 方法 ， 故 本 章 的 方法 可 用 于 开发 的 过 程 中 避免 功能 性 错误 。 


4.1 为 什么 要 规范 和 验证 编码 


规范 和 验证 编码 经 常 认 为 是 强加 给 程序 员 的 不 受 欢迎 的 工作 ， 而 且 没 有 必要 。 支 持 验 证 
的 论据 包括 下 列 理由 : 

。 文档 : 文档 是 程序 规范 的 重要 组 成 部 分 ,程序 文档 化 的 过 程 可 以 提出 或 解决 重要 问题 。 形 式 规范 的 
逻辑 结构 、 写 成 一 种 适当 的 逻辑 的 公式 ， 一 般 是 用 于 在 尝试 写 出 使 公式 成 立 的 实现 过 程 中 作为 指导 
原则 。 

市 场 化 时 间 : 在 测试 阶段 调试 大 系统 ， 代 价 昂贵 且 非 常 耗 时 ， 局 部 “修改 ”经 常会 在 别处 引 来 新 的 缺 
陷 。 经 验 表 明 ， 使 用 形式 规范 对 软件 进行 验证 ， 可 以 在 计划 阶段 清除 大 多 数 错误 并 帮助 澄清 系统 各 
个 成 分 的 作用 及 结构 ， 从 而 显著 地 减少 软件 开发 和 维护 的 时 间 。 

重 析 ( Refactoring) : 经 适当 规范 和 验证 过 的 软件 更 容易 复 用 ， 因 为 我 们 对 其 工作 有 清晰 的 规范 。 
认证 审计 : 安全 做 关 的 计算 机 系统 一 一 如 核电 站 冷却 系统 或 现代 航天 器 驾驶 舱 的 控制 ， 要 求 其 软件 
必须 经 过 尽 可 能 严格 和 形式 化 的 规范 和 验证 。 商 业 依 关 的 程序 (诸如 银行 使 用 的 会 计 软 件 ) 要 求 在 
交付 时 应 该 保证 正常 的 使 用 产生 正确 的 执行 。 证 明 程序 满足 其 规范 就 是 这 样 一 种 保障 。 

软件 工业 从 适当 验证 编码 中 能 获得 的 益处 依赖 于 生产 它 所 需 的 额外 费用 以 及 有 了 它 的 好 
处 。 随 着 验证 技术 的 改进 ， 成 本 不 断 下 降 。 随 着 软件 复杂 程度 和 社会 对 其 依赖 的 程度 不 断 提 
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高 ， 这 种 益处 变 得 更 加 重要 。 因 此 ， 我 们 可 以 预见 在 未 来 几 十 年 里 ， 验 证 对 工业 的 重要 性 将 
会 继续 增加 。 微 软 的 新 兴 技术 A# 在 一 种 集成 的 室内 开发 环境 中 将 程序 验证 、 测 试 和 模型 检 
测 技术 结合 了 起 来 。 

当前 ， 很 多 公司 面临 着 没有 合适 文档 的 遗留 代码 问题 ， 通 过 修改 这 些 代码 以 适应 新 的 硬 
件 和 网 络 环境 ， 以 及 不 断 变化 的 要 求 。 常 见 的 情况 是 : 那些 仍 能 记得 某 些 特定 代码 段 的 初始 
程序 员 已 经 离开 或 去 世 。 软 件 系统 现在 经 常 比 人 的 寿命 长 ， 这 要 求 持久 的 、 透 明 的 和 便携 的 
设计 与 实现 过 程 。2000 年 问题 仅 是 一 个 例子 。 软 件 验证 为 这 样 的 过 程 提供 一 些 帮 助 。 


4.2 软件 验证 的 一 种 框架 


假定 你 为 一 家 软件 公司 工作 ,任务 是 编写 用 于 解决 复杂 问题 或 进行 计算 的 程序 。 典 型 
地 ， 这 样 的 项 目 涉及 一 个 外 来 客户 ， 例 如， 一 家 实业 公司 。 他 们 已 经 用 普通 语言 为 该 任务 写 
出 了 一 个 非 形式 的 描述 。 在 这 种 情况 下 ， 任 务 可 以 是 一 个 电子 账户 数据 库 的 开发 和 维护 ， 包 
括 所 有 可 能 的 应 用 ， 如 自动 付 账 清算 、 客 户 服务 等 。 由 于 这 些 非 正式 描述 可 能 有 含糊 不 清 之 
处 ， 最 终 导致 严重 的 和 代价 昂贵 的 设计 缺陷 ， 所 以 有 必要 将 该 项 目 提出 的 所 有 需求 浓缩 为 形 
式 规范 。 这 些 形式 规范 通常 是 将 现实 世界 的 约束 编码 为 某 种 类 别 的 逻辑 。 于 是 ， 产 生 这 样 的 
软件 的 一 个 框架 可 以 是 : 

。 将 应 用 领域 中 需求 的 非 形式 描述 R 转化 成 某 种 符号 逻辑 中 “等 价 的 "公式 Qr 

。 在 你 的 公司 提供 的 或 由 特殊 客户 所 希望 的 编程 环境 中 ， 编 写 一 个 能 实现 $s 的 程序 P; 

。 证 明 程 序 P 满 足 公式 pro 

这 种 模式 是 相当 粗糙 的 。 例 如 ， 约 束 可 以 是 接口 和 数据 类 型 的 实际 设计 决策 ， 或 者 在 大 
项 目 中 ,规范 可 能 “进化 ”， 而 且 是 部 分 “未 知 的 ”"， 但 在 尝试 定义 良好 程序 方法 论 的 过 程 中 
不 失 为 一 种 好 的 初次 近似 。 可 以 想到 ， 这 样 的 一 系列 活动 有 若 于 变异 。 例 如 ， 作 为 一 个 程序 
员 ， 可 能 只 给 你 一 个 公式 be ， 因 此 你 对 要 解决 的 现实 问题 没有 一 点 了 解 。 从 技术 上 讲 ， 这 
不 会 引起 什么 问题 ， 但 能 同时 获得 形式 和 非 形式 的 描述 经 常 是 很 方便 的 。 此 外 ， 起 章 非 形式 
需求 尺 经 常 是 客户 和 程序 员 之 间 互 相交 流 的 过 程 ， 而 试图 形式 化 及 可 以 弄 清 楚 含 糊 之 处 或 
非 预 期 结论 ， 从 而 对 R 进行 修订 。 

因为 不 可 能 “验证 " 非 形式 需求 与 形式 描述 6, 之 间 是 否 等 价 ， 所 以 在 非 形式 与 形式 描 
述 的 领域 之 间 “ 来 回 往复 "是 必要 的 。R 作为 自然 语言 片段 的 意义 是 建立 在 常识 和 关于 现实 
领域 的 一 般 知 识 基 础 上 的 ， 经 常 基于 启发 式 或 定量 推理 。 另 一 方面 ， 逻 辑 公 式 or 的 意义 通 
过 对 $s 的 语法 分 析 树 进行 结构 归纳 ， 用 精确 的 数学 、 定 性 和 复合 的 方式 来 定义 ， 在 前 三 章 
中 有 这 方面 的 例子 。 

于 是 ,寻求 R 的 合适 的 形式 化 6, 的 过 程 需要 极为 细心 ， 否 则 可 能 出 现 由 pr 规范 的 行 
为 与 尺 所 描述 的 不 同 。 更 糟糕 的 是 ， 需 求 RR 往往 是 不 相 容 的 ， 顾 客 对 程序 能 为 他 确切 地 做 
些 什么 经 常 只 有 相当 含糊 的 概念 。 因 此 ， 为 应 用 领域 的 要 求 产生 清晰 、 连 贯 的 描述 RR 已 经 
成 为 成 功 编程 的 关键 步 又。 理想 情况 下 ， 这 个 阶段 应 该 由 客户 和 项 目 经 理 们 坐 下 来 面对面 交 
谈 ， 或 者 通过 电视 会 议 达成 。 在 本 书 中 ， 对 第 -- 个 问题 只 是 隐 含 地 提示 ， 但 你 应 该 意识 到 它 
在 实践 中 的 重要 性 。 

软件 开发 框架 的 下 一 个 阶段 涉及 构造 程序 P， 其 后 的 最 后 一 项 任务 是 验证 P 满足 6$,。 这 
里 ,与 实际 的 过 程 相 比 ， 我 们 的 框架 仍然 过 于 简化 ， 因 为 证 明 P 满足 pr 与 构造 合适 的 尸 经 党 
是 并 驾 齐 驱 的 。 证 明 与 编程 间 的 这 种 对 应 可 以 相当 精确 地 进行 阐释 ， 但 超出 了 本 书 的 范围 
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4.2.1 一 种 核心 程序 设计 语言 


我 们 准备 研究 的 程序 设计 语言 是 大 多 数 命令 型 编程 语言 的 典型 核心 语言 。 如 果 忽 略 平凡 
的 语法 变化 ， 它 只 是 Pascal，C，C++ 和 Java 的 子 集 。 我 们 的 语言 包括 对 整数 值 和 布尔 值 变 
BHR, if ih, while 语句 和 顺序 合成 。 像 C 和 Java 这 样 的 大 型 语言 计算 的 所 有 事情 也 
能 用 我 们 的 语言 计算 ， 虽然 也 许 不 那么 方便 ， 因 为 它 不 包含 任何 对 象 、 过 程 、 线 程 或 递归 数 
据 结 构 。 尽 管 与 全 功能 商业 语言 相 比 ， 它 看 起 来 不 太 现 实 ， 但 它 允 许 我 们 将 讨论 的 焦点 集中 
于 形式 程序 验证 过 程 上 。 我 们 的 语言 所 缺失 的 特性 可 以 在 其 基础 上 实现 。 这 就 是 下 面 说 法 的 
理由 : 这 些 特 性 并 不 增加 语言 的 能 力 ， 只 是 因为 使 用 方便 。 验 证 使 用 这 些 特征 的 程序 要 求 对 
我 们 这 里 提出 的 证 明 演 算 进行 非 平凡 扩张 。 特 别 地 ， 变 量 的 动态 辖 域 给 程序 验证 方法 提出 了 
难题 ， 但 这 超出 了 本 书 的 范围 。 : 

我 们 的 核心 语言 有 三 类 语法 论 域 : 整数 表达 式 、 布 尔 表达 式 和 命令 ， 我 们 将 后 者 视 为 程 
序 。 整 型 表达 式 以 熟知 的 方式 由 变量 *，y，z，…， 数 字 0，1，2，…，-1，-2，…， 以 
及 像 加 法 ( + ) 和 乘法 ( * ) 这样 的 基本 运算 建立 起 来 。 例 如 

5 

x 

4+(x%-3) 

x + (x*(y - (5 +2))) 
都 是 合法 的 整数 表达 式 。 生 成 整数 表达 式 的 语法 是 

E:: = n|x|(-E)|(E + E)|(E - E)|(E*E) © (4-1) 

其 中 中 是 |…，-2，-1,， 0, 1，2,…| 中 的 任意 数字 ，x 是 任意 变量 。 注 意 ， 在 “数学 "中 
我 们 将 乘法 写 为 2. 3， 而 用 我 们 的 核心 语言 则 写成 2 «3, 

约定 4.1 在 上 述 语法 中 ， 负 号 - 的 绑 定 优先 级 比 乘 法 * 高 ， 而 乘法 比 减法 - 和 加 
法 + 高 。 

AN if iA while 语句 中 含有 条 件 ， 所 以 我 们 还 需要 布尔 表达 式 的 语法 论 域 B。 该 语 
法 用 Backus Naur 范式 表示 为 

B:: = true|false|(!B)|(B&B)|(BIB)|(E < E) (4-2) 
用 ! 表示 否定 ，& 表示 合 取 ，| 表示 析 取 。 这 个 语法 可 以 根据 上 述 定义 的 算 子 自由 地 扩张 。 
例如 ， 测 试 相等 9E, ==E,， 可 以 由 ! (E, <E,)&! (E, <E) Xk. REDE, -REMA 
写 记 号 。 我 们 还 将 ! (E, ==E,) 缩 写成 (E,! =E,)。 我 们 还 假定 约定 1.3 中 陈述 的 关于 逻辑 
算 子 的 通常 绑 定 优先 级 。 布 尔 表达 式 建立 在 整数 表达 式 之 上 ， 因 为 式 (4-2) 的 最 后 一 个 子 句 
提 到 了 整数 表达 式 。 

有 了 整数 和 布尔 表达 式 后 ， 可 以 定义 命令 的 语法 论 域 。 因 为 命令 建立 在 使 用 赋值 及 控制 
结构 的 更 简单 的 命令 的 基础 上 ， 所 以 你 可 以 将 命令 看 成 实际 的 程序 。 我 们 为 命令 选择 的 语 
法 为 


O 与 C 和 Java 语 言 一 样 ， 我们 用 单个 等 号 = RRR, WEES = = 表示 相等 。 像 Pascal 这 样 的 早期 语言 使 
用 := 表示 赋值 ， 简 单 用 = 表示 相等 。 非 常 可 惜 ，C 及 其 后 继 语言 没有 保留 这 个 约定 。 对 赋值 来 讲 ，= 是 一 个 不 
好 的 符号 ， 诛 因 是 赋值 不 是 对 称 : 如 果 我 们 将 + =y 解释 为 赋值 ， 则 x 变 成 y， 而 这 与 y 变 成 x 不 是 一 回 事 。 尽 
管 如 此 ， 如 果 理 解 成 相等 ， 则 x =y 和 y=x 是 一 回 事 。 := 中 的 两 个 点 帮助 提醒 读者 这 是 一 个 非 对 称 的 赋值 操作 
而 不 是 对 称 的 相等 断言 。 然 而 ， 现 在 普遍 用 符号 = 表示 赋值 ， 所 以 我 们 也 将 这 样 使 用 。 
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C::=x =EIC;Cl if B{Clelse{C} | while BIC} (4-3) 


其 中 括号 1 和 | 用 来 标记 过 和 while 语句 中 代码 块 的 范围 ， 如 在 C 和 Java 语言 中 一 样 。 如 果 该 
块 只 有 一 条 语句 ， 括 号 可 以 省 略 。 程 序 构造 的 直观 含义 如 下 : 

1. 原子 命令 x = 是 通常 的 赋值 语句 ， 它 在 当前 存储 状态 下 计算 整数 表达 式 5 的 值 ， 然 后 用 该 计算 的 
结果 复写 储存 在 * 中 的 当前 值 。 | 

2. 合成 命令 Co C, 是 命令 C, AC, 的 顺序 合成 。 开 始 在 当前 存储 状态 下 执行 C, 。 若 执行 终止 ， 则 在 
执行 C, 的 结果 后 的 存储 状态 下 执行 CG TW, ME C 的 执行 不 终止 ， 运 行 C, G 也 不 终止 。 顺 序 合成 
是 控制 结构 的 一 个 例子 ， 因 为 它 实现 了 在 计算 中 控制 流 的 一 种 特定 策略 。 

3. 另 一 个 控制 结构 是 if(B) |C l else|C,|。 它 首先 在 当前 存储 状态 下 计算 布尔 表达 式 B FARN 
真 ， 则 执行 C,; 车 B 的 计算 为 假 ， 则 执行 Co 

4. 第 三 个 控制 结构 while B1C| 允许 我 们 书写 重复 执行 的 语句 。 其 含义 为 

a. 在 当前 存储 状态 下 计算 布尔 表达 式 B 的 值 ; 

b 若 卫 计算 为 假 ， 则 命令 终止; 

c. 否则 执行 命令 C。 若 该 执行 终止 ， 则 用 已 更 新 的 存储 状态 下 重新 计算 的 B 值 青 次 从 步骤 (a) 开始 。 

while 语句 的 要 点 在 于 ， 只 要 计算 出 B 的 值 为 真 ， 就 重复 执行 命令 C。 如 果 B 永久 不 为 假 或 者 C 的 一 次 
执行 不 终止 ， 则 while 语句 就 不 会 终止 。 在 我 们 的 核心 编程 语言 中 ，while 语句 是 非 确定 性 的 唯一 真正 来 源 。 

例 4.2 自然 数 n 的 阶乘 n! 归纳 地 定义 为 : 

O11 
(n+1)!(n 41) +a! (4-4) 

例如 ， 对 为 4 时 展开 这 个 定义 ， 得 到 4! 尝 4.3!=…=4.3.2.1.0!=24。 下 列 程序 
Fach 意 在 计算 x 的 阶乘 9 ， 并 将 结果 存储 在 y 中 : 

2 = 0, 

while (z != x) { 

z=z+1; 


yry*Z; 


} 
在 本 章 稍 后 将 证 明 Faci 确实 能 做 到 这 些 。 


4.2.2 霍 尔 三 元 组 


由 式 (4-3) 生 成 的 程序 片段 开始 在 一 个 机 器 “状态 ”下 运行 。 做 了 一 些 计算 后 ， 它 可 能 终 
止 。 如 果 的 确 如 此 ， 则 结果 是 另 一 个 、 通 常 是 不 同 的 状态 。 因 为 我 们 的 编程 语言 没有 任何 过 
程 或 局 部 变量 ， 机 器 的 “状态 ”可 以 简单 地 表示 为 程序 中 所 使 用 的 变量 值 的 向 量 。 

对 程序 需求 的 形式 规范 bs ， 我 们 应 该 用 什么 样 的 语法 呢 ? 因 为 我 们 感 兴趣 的 是 程序 的 
输出 ， 语 言 应 该 允许 我 们 讨论 在 程序 执行 后 的 状态 下 的 变量 ,使 用 算 子 ， 如 = 表示 相等 ，< 
表示 小 于 。 请 注意 = 的 使 用 。 在 编码 中 ， 它 表示 赋值 指令 。 在 逻辑 公式 中 ， 它 代表 相等 ， 而 
在 程序 代码 中 “相等 " 写 为 == 。 

例如 ， 如 果 非 形式 需求 R 说 的 是 我 们 应 该 . 

HAR y, 其 平方 小 于 输 人 x。 
则 一 个 合适 的 规范 可 以 是 yxy <x。 车 输入 x 是 -4 会 如 何 呢 ? 因为 没有 一 个 数 的 平方 小 于 





© 请 注意 公式 x! =y 与 代码 段 x! =y 之 间 的 差别 : 前 者 说 x 的 阶乘 等 于 y， 而 后 者 是 说 x 不 等 于 y. 
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负数 ， 所 以 ， 不 可 能 编写 出 一 个 对 所 有 可 能 输入 都 能 工作 的 程序 。 如 果 我 们 回头 找 客 户 说 明 
这 个 问题 ， 客 户 很 可 能 回应 说 需求 不 过 是 程序 对 正 数 可 以 工作 。 即 ， 客 户 修订 了 非 形式 需 
求 ， 那 么 现在 的 需求 为 : 
若 输 入 x 是 正 数 ,计算 一 个 平方 小 于 x 的 数 。 
这 意味 着 不 仅 能 谈论 程序 运行 后 的 状态 ， 还 要 考虑 程序 运行 前 的 状态 。 因 此 ， 将 做 的 断言 是 
三 元 组 ， 典 型 的 样子 如 
(181)P(y|) (4-5) 
其 (大 概 ) 意 思 是 : 
BEF 已 在 一 个 满足 4 的 状态 下 运行 , 则 执行 P 的 结果 状态 满足 y。 
现在 ,计算 平方 小 于 x 的 数 的 程序 P 的 规范 看 起 来 形式 如 下 : 
(|x >O0))PCly-y¥ <x|) (4-6) 
它 意 味 着 : 若 在 满足 x > 0 的 状态 下 运行 P， 则 结果 状态 将 是 y. y<x。 它 并 没有 告诉 我 们 在 
满足 x<0 的 状态 下 运行 P 会 发 生 什么 ， 客 户 对 非 正 的 x 值 没 作 要 求 。 于 是 ， 在 这 种 情形 下 ， 
程序 员 可 以 随意 。 只 要 程序 在 x >0 时 能 正确 工作 ， 即 使 在 x*<0 时 产生 “垃圾 ”， 也 满足 
规范 。 
下 面 ， 我 们 更 精确 地 描述 这 些 概念 。 
定义 4.3 
1. 规范 的 (|$|)P(| 落 |) 的 形式 称 为 霍 尔 ( Hoare) 三 元 组 ， 以 计算 机 科学 家 C. A. R. Hoare 的 名 字 命名 。 
2. 在 式 (4-5) 中 ， 公 式 称 为 P 的 前 置 条 件 ，y 称 为 P 的 后 置 条 件 。 
3. 核心 程序 的 一 个 存储 或 状态 是 将 每 个 变量 x 指派 为 一 个 整数 K(x) 的 函数 L 
4. 对 带 有 函数 符号 - (一 元 的 ) ，+ ，- 和 * (二 元 的 ) 以 及 二 元 谓词 符号 < 和 = 的 谓词 逻辑 公式 $, R 
们 说 状态 HES, RHIB—-+ ORE, BRIE A, 当 且 仅 当 2.4.1 节 的 MEi4 成 立 ,其 中 1 视 为 一 个 查 
询 表 ,模型 M 以 所 有 整数 作为 集合 4， 并 用 标准 方式 解释 函数 和 谓词 符号 。 
5. 对 式 (4-5) 中 的 霍 尔 三 元 组 ， 要求 由 和 少 中 的 量词 只 约束 未 出 现在 程序 P 中 的 变量 。 
例 4.4 对 满足 !(x*) = -2, iy) =5, Wz) = -1 的 任意 状态 1， 关系 
1.7F” (x+y<z) 成 立 ， 因 为 x*+y 计 算 为 -2+5 =3, z 计 算 为 1(z) = -1， 而 3 不 是 严格 小 于 -~ 1; 
2.7F 7 -zx*z<z 不 成 立 ， 因 为 左边 的 表达 式 计 算 为 5- ( -2)，( -1) =3， 而 3 不 是 严格 小 于 iz) = -1; 
3.LEVuly<usyezcurz) KRZ, HAK u wT, ley <u 成立， 但 i 上 y#*z<u*z 不 成 立 。 
经 常 ， 我 们 不 想 对 初始 状态 做 任何 约束 。 我 们 只 希望 : 无 论 程序 从 什么 状态 开始 ， 结 果 状 
态 都 应 满足 少 。 此 时 ， 前 置 条 件 可 设 为 T ， 如 以 前 各 章 ， 它 表示 在 任何 状态 下 都 为 真 的 公式 。 
注意 式 (4-6) 中 的 三 元 组 并 不 能 规范 上 唯一 的 程序 P 或 唯一 的 性 能 。 例 如 ， 只 做 y <0 的 
程序 满足 该 规范 ， 因 为 0 . 0 小 于 任何 正 数 ， 下 面 程序 也 满足 该 规范 ; 
nile G *y <x) { 
了 = 了 + 二 
} 
y=y- il; 
这 个 程序 找 出 平方 小 于 * 的 最 大 y。 这 个 while 语句 做 的 稍微 有 点 过 头 ， 但 随 之 在 while 语句 
之 后 修正 了 这 一 点 。9 


注意 ， 这 两 个 程序 有 不 同 的 性 能 。 例 如 ， 若 x 是 22， 第 一 个 程序 计算 出 y =0， 而 第 二 





O ”我们 可 以 用 练习 4.1 的 3 repeat 语句 来 避免 这 种 不 雅致 。 
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个 得 到 y =4。 但 两 者 都 满足 规范 。 

接 下 来 要 发 展 一 种 证 明 的 概念 ,证 明 程 序 P 满足 式 (4-5) 中 的 前 置 条 件 o MEER y 
所 给 出 的 规范 。 还 记得 我 们 已 经 为 命题 逻辑 和 谓词 逻辑 发 展 了 证 明 演算 ,证 明 可 以 通过 研究 
待 证 公式 的 结构 来 完成 。 例 如 ， 为 了 证 明 蕴涵 boy, BARE p 并 设法 证 明 yp, RUG UE 
可 以 借助 蕴涵 -引信 的 证 明 规 则 来 完成 。 我 们 准备 发 展 的 证 明 演算 遵循 类 似 的 思路 ,但 与 以 
前 研究 过 的 逻辑 不 同 ， 因 为 待 证 明 的 三 元 组 是 由 两 类 不 同 内 容 构 成 : 逻辑 公式 $ My 与 一 
段 代 码 P。 证 明 演 算 必 须 适 当地 考虑 每 一 类 情况 。 我 们 依然 会 保持 复合 的 证 明 策 略 ， 只 不 过 
现在 是 关于 P 的 结构 应 用 该 策略 。 注 意 ， 在 大 项 目的 验证 中 这 是 一 个 重要 的 优势 ， 此 时 的 
代码 建立 在 多 个 模块 的 基础 上 ， 使 得 某 些 部 分 的 正确 性 于 依赖 其 他 部 分 的 正确 性 。 于 是 ， 你 
的 代码 可 以 调用 由 项 目 组 其 他 成 员 准 备 编码 的 子 程序 ， 通 过 假定 这 些 子 程序 满足 其 自身 的 规 
范 ， 你 总 可 以 检验 你 的 编码 之 正确 性 。 在 第 4. 5 节 中 我 们 将 探讨 这 个 题目 。 


4.2.3 部 分 正确 性 和 完全 正确 性 


我 们 对 三 元 组 (| 由 |)P(| 炒 |) 何 时 成 立 的 解释 是 很 不 正规 的 。 特 别 地 ， 它 没有 提 到 如 果 
P 不 终止 我 们 会 得 到 什么 结论 。 事 实 上 ， 有 两 种 方法 处 理 这 种 情况 。 部 分 正确 性 意味 着 我 们 
不 要 求 程序 终止 ， 而 对 完全 正确 性 ， 我 们 坚持 要 求 其 终止 。 

定义 4.5( 部 分 正确 性 ) 如果 对 满足 由 的 所 有 状态 ， 只 要 P 实际 终止 ,执行 P 后 的 结 
果 状 态 就 满足 后 嗜 条 件 少 ， 我 们 说 三 元 组 (| 由 |)P( |w|) 在 部 分 正确 意义 下 满足 。 此 时 ， 关 
系 EFpa( | 四 |)P( |y|) 成 立 。 我 们 称 F6s 为 部 分 正确 性 的 满足 关系 。 

于 是 ， 仅 当 程 序 P 对 一 个 满足 $ 的 输入 终止 时 ， 我 们 才 坚 持 小 在 结果 状态 下 为 真 。 部 
分 正确 性 是 一 个 相当 弱 的 要 求 ， 因 为 任何 不 终止 的 程序 都 满足 其 规范 。 特 别 地 ， 程 序 

while true { x = 0; } 

无 休止 地 “循环 ” 永 不 终止 ， 满 足 所 有 规范 ， 因 为 部 分 正确 性 只 是 说 如 果 程 序 终止 则 必须 发 生 。 

男 一 方面 ， 为 使 其 满足 一 个 规范 ， 完 全 正确 性 要 求 程 序 终止 。 

定义 4.6( 完 全 正确 性 ) 我们 说 三 元 组 (1$|)P( | 水 |) 在 完全 正确 意义 下 满足 ， 如 果 在 
满足 前 置 条 件 由 的 所 有 状态 下 执行 程序 P，P 肯定 终止 ， 而 且 结 果 状 态 满足 后 置 条 件 yw。 此 
时 ， 我 们 说 关系 Fu( |$1)P( |y|) 成 立 ， 并 称 EFw 为 完全 正确 性 的 满足 关系 。 

在 完全 正确 性 的 意义 下 ， 对 所 有 输入 永远 “循环 "的 程序 不 满足 任何 规范 ， 显 然 ， 完 全 
正确 性 比 部 分 正确 性 更 有 用 ， 因 此 ， 读 者 会 迷惑 为 什么 还 要 引入 部 分 正确 性 。 证 明 完 全 正确 
性 通常 可 由 先 证 明 部 分 正确 性 、 然 后 证 明 可 终止 获 益 。 所 以 ， 尽 管 我 们 主要 对 证 明 完 全 正确 
性 感 兴趣 ， 但 经 常 必 须 或 希望 可 以 将 其 分 解 为 部 分 正确 性 和 可 终止 两 个 分 离 的 证 明 。 本 章 的 
大 部 分 内 容 专注 于 部 分 正确 性 证 明 ， 但 在 第 4.4 节 中 会 回 到 终止 问题 。 

在 投入 为 部 分 正确 性 和 完全 正确 性 建立 合理 及 完备 的 证 明 演算 之 前 ， 先 简要 地 给 出 一 些 
我 们 希望 证 明 的 规范 类 型 的 典型 例子 。 

例 4.7 

1. & Succ 是 程序 


a=x+t+1; 

if (a - 1 == 0) { 
y=; 

} else { 
y =a; 

} 
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程序 Succ 在 部 分 正确 性 和 完全 正确 性 的 意义 下 满足 规范 ( | T | ) succ( |y= (x+1) |)， 因此， 车 将 
x 视 为 输入 ，y 视 为 输出 ， 则 suss 计算 后 继 函 数 。 注 意 这 个 代码 远 不 是 最 优 的 。 事 实 上 ， 它 是 实现 后 继 函 
数 的 一 种 相当 绕 远 的 方法 。 尽 管 非 最 佳 ， 我 们 的 证 明 规 则 需要 能 够 证 明 这 个 程序 的 性 能 。 

2. 只 有 4 最 初 非 负 时 ， 例 4. 2 中 的 程序 Faci 才能 终止 ， 为 什么 ? 考察 一 下 期 待 能 够 证 明 Faci 的 哪 
些 性 质 。 

我 们 应 该 能 证 明 F( |x*z>0)Facl(|y=xlil) 成 立 。 只 要 xz>0， 则 Facl 以 结果 y=x! 终止 。 然 而 ， 
更 强 的 陈述 Fw( | 本 | )Fac1i( |y=x! |) 成 立 应 该 是 不 可 证 的 ， 因 为 对 负 的 x 值 ，Fac1l 不 终止 。 

关于 部 分 正确 性 ， 陈 述 Fue( |120|) Faci( |y=zx!|) 和 上 Fpw( | 下 | )Faci( |y=x!|) 都 应 该 是 可 证 的 ， 
因为 它们 成 立 。 

定义 4.8 

1. EZRA PPC yl) 的 部 分 正确 性 可 以 用 本 章 所 开发 的 部 分 正确 性 演算 所 证 明 ， 则 我 们 称 矢 
boa 1b 1) PC 1y |) 是 有 效 的 。 

2. 类 似 地 ， 若 三 元 组 ( | $81) P( |y|) 的 完全 正确 性 可 以 用 本 章 所 开发 的 完全 正确 性 演算 所 证 明 ， 则 我 
TERIA Fi |$1)P( |y 1) 是 有 效 的 。 | 

于 是 ,车 P 是 部 分 正确 的 ， 则 Fpw( |$|1)P( lel) RL, 而 Fpo( |$|)P(|y|) 有 效 意味 
着 通过 我 们 的 演算 可 以 证 明 P 是 部 分 正确 的 。 前 者 意味 着 它 实 际 上 是 正确 的 ， 而 后 者 意味 
着 根据 我 们 的 演算 可 以 证 明 它 是 正确 的 。 

如 果 我 们 的 演算 有 好 处 ， 那 么 关系 Hu 应 该 包含 在 Fu 中 ! 更 确切 地 说 演算 是 合理 的 ， 
如 果 只 要 告诉 我 们 某 件 事情 可 以 证 明 ， 那 么 该 事情 就 确实 为 真 。 因 此 ， 如 果 告 诉 我 们 假 的 事 
情 不 能 被 证 明 ， 那 么 它 就 是 合理 的 。 形 式 地 讲 ， 我 们 说 Fw 是 合理 的 ， 如 果 对 所 有 $, y 
AP, 

REF wl [OPC |y 1) AR, Mee ADP y) 成 立 
类 似 地 ， 称 Fu 是 合理 的 ， 如 果 对 所 有 中, YMP, 
只 要 Fw( |$8|)P( jy1) 有 效 , 则 Ew( |$|)P( jy|) 成 立 
我 们 说 一 种 演算 是 完备 的 ， 如 果 它 能 够 证 明 为 真 的 所 有 事情 。 形 式 上 讲 ，Fj* 是 完备 的 ， 如 
果 对 所 有 b, y HP, 
RB Ew | PDP YD RE, Wallp )PCl wl) 有 效 。 
关于 Fw 的 完备 性 是 类 似 的 。 

在 第 1 章 和 第 2 章 中 ， 我 们 说 合理 性 相对 容易 证 明 ， 因 为 典型 的 情况 是 各 个 证 明 规 则 的 
合理 性 可 以 独立 于 其 他 规则 加 以 确立 。 另 一 方面 ， 完 备 性 较 难 证 明 ， 因 为 它 依赖 于 证 明 规 则 
的 整个 集合 的 相互 协作 。 对 本 章 中 引入 的 程序 逻辑 同样 的 情形 依然 成 立 。 确 立 合 理性 不 过 是 
依次 考虑 所 有 规则 ， 见 练习 4.4 的 3， 而 确立 其 (相对 ) 完 备 性 更 难 些 ， 而 且 超 出 了 本 书 
范围 。 


4.2.4 程序 变量 和 逻辑 变量 


到 目前 为 止 ， 我 们 所 看 到 的 待 验 证 程序 中 的 变量 称 为 程序 变量 ， 它 们 也 可 以 出 现在 规范 
的 前 置 条 件 和 后 置 条 件 中 。 有 时 ， 为 了 叙述 规范 ， 需 要 使 用 不 出 现在 程序 中 的 其 他 变量 。 
例 4.9 
L 阶乘 程序 的 另 一 种 版 本 可 以 是 如 下 的 Fac2 : 
= 1; 
vhile (x f= 0) { 
yry* x; 
x=x- 1; 


} 





程序 验证 177 


与 前 一 版 本 不 同 ， 该 程序 “消耗 "输入 x。 尽管 如 此 ， 它 仍然 能 正确 地 计算 x 的 阶乘 ， 并 将 值 存储 在 y 中 。 
而 我 们 想 将 其 表示 为 瞪 尔 三 元 组 。 然 而 ， 将 其 写成 ( |x>0|)Fac2(|y =x!|) 不 是 一 个 好 主意 ， 如 果 程 序 终 
Ik, % 将 为 0, 而 y 是 x 初始 值 的 阶乘 。 

我 们 需要 一 种 方法 记 住 x 的 初始 值 ， 以 应 付 它 可 以 被 程序 修改 这 个 事实 。 逻 辑 变量 正好 能 做 到 : 在 规 
范 (|x=xAxz0|)Fac2(|y=xoll) 中 ，x 是 逻辑 变量 ,将 其 视 为 被 前 置 条 件 中 的 全 称 量词 所 约束 。 因 
此 ， 这 个 规范 的 含义 为 : 对 所 有 整数 zx， 如果 >* 等 于 xo，xz>0， 且 和 运行 该 程序 终止 ， 那 么 ， 结 果 状 态 满足 7 
等 于 x!。 这 种 方法 能 起 作用 ， 因 为 zx 不 出 现在 Fac2 中 ， 所 以 它 不 能 被 Fac2 所 修改 。 

2. 考虑 程序 Sum; 

z= 0; 

while (x > 0) { 

z =z +x; 

x=x-1; 

} 
这 个 程序 将 前 x 个 整数 相 加 ， 并 将 结果 存储 在 z 中 。 于 是 ,， (|x=3|) sum(|z=6]), (|x=8|) Sum 
( |z=36 |) 等 等 。 由 定理 1.31 我 们 知道 ， 对 所 有 SO, 1424+ +x=x(x+1)/2， 因此 程序 终止 时 z 为 
xo(xo +12, Bhs, 是 x 的 初始 值 ， 我 们 希望 用 元 尔 三 元 组 来 表达 这 个 结果 。 于 是 ， 我 们 写 

(|x = x Ax BO|)Sum( |z = xo(xo + 1)/21) 
这 些 例子 中 像 x, 这 样 的 变量 就 叫做 还 辑 变量 ， 因 为 它们 只 出 现在 构成 前 置 条 件 和 后 置 条 件 
的 逻辑 公式 中 ， 而 不 出 现在 待 验证 的 代码 中 。 系 统 的 状态 为 每 个 程序 变量 给 一 个 值 ， 但 对 退 
辑 变 量 则 不 然 。 逻 辑 变 量 起 的 作用 与 第 2 章 中 关于 Vi 和 3 了 e 规则 的 旺 变量 类 似 。 
定义 4.10 对 于 和 霍 尔 三 元 组 ( |$|)P( |y|) ， 其 逻辑 变量 的 集合 是 在 由 或 少 中 自由 但 不 


出 现在 P 中 的 变量 。 
4.3 部 分 正确 性 的 证 明 演 算 


我 们 现在 提出 的 证 明 演 算 可 追 潮 到 R. Floyd 和 C. A. R. Hoare。 在 下 一 小 节 中 ， 对 命令 的 
每 个 语法 语句 给 出 证 明 规 则 。 我 们 可 以 继续 直接 使 用 这 些 证 明 规 则 ， 但 其 实 将 其 表述 为 一 种 
更 适合 构造 证 明 的 不 同形 式 ( 称 为 证 明 布 景 ，proof tableaux) 会 更 加 方便 。 这 是 在 随后 一 节 中 
要 做 的 事 。 


4.3.1 证 明 规则 


图 4-1 给 出 了 演算 的 证 明 规则 。 应 该 解释 为 允许 从 形 如 ( |$|)P(|y|) 的 简单 断言 过 渡 
到 更 复杂 断言 的 规则 。 赋 值 规 则 是 一 个 公理 ， 因 为 它 没有 前 提 。 这 允许 我 们 任 空 构造 一 些 三 
元 组 ， 使 证 明 继续 。 完 整 的 证 明 是 树 ， 见 图 4-2 的 例子 。 


CGePGaCad Cnbady) 
ADCC ly) 





复合 








PADE @# 
Cl@ABPGCly) (| 由 ABC 人 |) 
(IiE BiCilelse{C,}( |y)) 
(|[y 和 BD)C( ly) 
(lyDwhile BIC} (|y A— B|) 


Farg’ @ CADEC y D Fary oy’ 
Cle’ De yl) 





下 语句 





部 分 While 








蕴涵 | 





图 4-1 霍 尔 三 元 组 部 分 正确 性 的 证 明 规则 
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复合 。 给 定 程序 片段 C, AC, 的 规范 ， 比 如 

daD al ACn DEC 

其 中 C, 的 后 置 条 件 也 是 C, 的 前 置 条 件 ， 图 4-1 中 关于 顺序 复合 的 证 明 规 则 允许 我 们 导出 关 

FC; C 的 一 个 规范 ， 即 

(| 由 CC |p|) 

于 是 ， 如 果 知 道 C, 将 $ 状态 变 为 n RE, C 将 7 状态 变 为 少 状 态 ， 那 么 顺序 运行 C, 和 

C,， 就 会 将 p REEN y 状态 。 

.在 程序 验证 中 使 用 图 4-1 的 证 明 规则 时 ， 必 须 自 底 向 上 阅读 。 例 如 ,为 了 证 明 ( 164|)C,; 
C,( |w|)， 和 需要 找到 一 个 合适 的 nm， 并 证 明 ( 18|)Ci(1n|) 和 (1m|)Cs( dyl). ME C; C 对 
满足 $ 的 输入 运行 而 且 需 要 证 明 执行 完 后 存储 满足 上， 那么 我 们 希望 将 该 问题 分 成 两 个 问题 
KEH. C 执行 完 后 ， 有 一 个 满足 5 的 存储 ， 将 其 看 作 是 CG 的 输入 ， 应 该 得 到 一 个 满足 峭 
的 输出 。 我 们 称 n 为 中 间 条 件 (midcondition ) 。 

赋值 。 赋 值 的 规则 没有 前 提 ， 因 此 是 我 们 逻辑 中 的 一 条 公理 。 如 果 希 望 证 明 在 赋值 x = 
巨 之 后 的 状态 下 东 成立， 必须 证 明 在 赋值 前 峭 [ E/x] moe. pl E/E M 2.2.49, Ky 
中 所 有 自由 出 现 的 x 都 用 兰 换 而 得 到 的 公式 。 我 们 把 斜 线 读 作 “ 代 蔡 ”; 于 是 ，y[ E/x] 就 
是 用 EE 代替 x 后 的 ww。 为 了 理解 这 个 规则 也 许 还 需要 一 些 解释 。 

。 初 看 起 来 ， 这 个 规则 似乎 是 反 着 叙述 的 。 人 们 可 能 期 待 : 若 y 在 一 个 状态 下 成 立 ， 且 在 此 状态 下 实施 
赋值 x =E， 则 在 结果 状态 下 yw[E/x] 肯 定 成 立 ， 即 : H ERE x。 这 是 错误 的 。 赋 值 x = 已 的 确 将 
在 初始 状态 下 的 值 用 EE 代替 了 ， 但 并 不 意味 着 将 在 关于 初始 状态 的 一 个 条 件 下 x 的 出 现 都 用 E RE. 

HM, Ry wx=6 EWS, Wy Dx=5 yE] AMY: 给 定 一 个 使 x 等 于 6 的 状 
态 ， 执 行 x =5， 产 生 一 个 x 等 于 5 的 状态 。 但 yw[x/E] 是 公式 5 =6， 在 任何 状态 下 都 不 成 立 。 

理解 赋值 规则 的 正确 方式 是 考虑 为 了 证 明 y 在 结果 状态 下 成 立 ， 关 于 初始 状态 必须 要 证 明 什 
么 。 由 于 一 般 情 况 下 ，y 会 说 些 有 关 * 值 的 事情 ， 无 论 关于 该 值 说 的 是 什么 都 必须 是 EE， 因 为 在 结 
PRET x 的 值 为 E。 于是， 用 E 代 蔡 x( 无 论 y 关 于 x 说 什么 都 适用 于 EE) 的 y 在 初始 状态 下 必须 
为 真 。 . 
在 验证 过 程 中 ， 反 向 应 用 公理 (|w[Evxz] |)x = EC |yw1) 比 正 向 应 用 要 好 得 多 。 也 就 是 说 ， 若 知道 少 
并 希望 找到 使 得 (| 由 |)* =E( |y|) 的 加 很 容易 。 只 需 简单 令 oki pl E/x), (A, WR AGH 由 并 想 
RAEE ODE |yw|) 的 yw， 则 没有 容易 的 方法 得 到 一 个 合适 的 沙 。 当 我 们 考察 如 何 构造 证 明 
时 ,赋值 和 复合 规则 的 这 种 反 向 特性 将 很 重要 。 我 们 将 从 程序 结尾 到 开始 来 构建 证 明 。 

若 我 们 按 这 种 反 向 方式 使 用 这 个 公理 ， 则 其 应 用 完全 是 机 械 的 。 它 只 涉及 到 替换 。 这 意味 着 可 以 让 

计算 机 来 做 。 遗 憾 的 是 ， 这 并 不 适用 于 所 有 规则 。 例 如 ，while 语句 规则 的 应 用 就 需要 有 些 创造 性 。 

因此 ， 在 实施 证 明 过 程 中 ， 计 算 机 最 多 只 能 在 完成 机 械 步 又 上 帮助 我 们 ， 诸 如 赋值 公理 的 应 用 ， 而 

把 那些 需要 创造 性 的 步骤 留 给 程序 员 。 

。 WRH yH yE], REAT Ey 中 的 所 有 自由 出 现 。 如 例 2.9， 不 会 出 现 由 约束 出 现 造 
成 的 问题 ， 只 妥 前 置 条 件 和 后 置 条 件 中 的 量词 只 作用 于 远 辑 变量 。 出 于 明显 的 理由 ， 推 荐 在 实践 中 
这 样 做 。 

例 4.11 

1. 假设 P 是 程序 x =2。 以 下 是 赋值 公理 的 实例 ; 

a. (|2=2|)P(|x=2[) 

b. ( |2=4 |) P( [x=4]) 

ce (|2=y|)P(|x=y|) 

d.(|2>0|)P(|x>0]) 
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这 些 语句 都 是 正确 的 陈述 。 反 向 阅读 ， 我 们 发 现 它们 的 意义 是 : 

a. 若 想 证 明 在 赋值 x =2 后 x =2， 则 必须 能 够 证 明 在 此 之 前 2 =2。 当 然 ，2 等 于 2， 故 证 明 它 应 该 不 会 
有 什么 问题 。 

b. 车 想 证 明 赋值 后 x =4， 使 其 能 工作 的 仅 有 方法 是 2 =4; PARRI, BM, WHEE My, 
|L [rE |p) Bmx. WHA? 

co 若 想 证 明 在 赋值 后 x =y， 需 要 证 明 在 赋值 前 2 =y。 

d. 为 了 证 明 x >0， 在 执行 P 之 前 最 好 有 2 >0。 

2. 假设 P 是 x =x +1。 通 过 选择 各 种 后 置 条 件 ， 得 到 赋值 公理 的 以 下 实例 ; 

a ({x+1=2|)P(|x=2|) 

b.(|x+1=y|)P(|x=y|) 

c.(|x+1+5=y]DP( |xr+5=y|) 

d.(|x+1>0Ay>0|)P(|x>0Ay>0|), 

TE Se NT SB ES TAF Se OP Sk AL, OB 
置 条 件 能 为 人 类 顾客 所 理解 ， 这 样 的 化 简 是 需要 的 。 

让 语句 。 让 语句 的 证 明 规 则 允许 我 们 证 明 形 如 

(|¢|) if BIC,} else CL} Cle) 

的 三 元 组 ， 通 过 将 其 分 解 成 两 个 三 元 组 ， 分 别 对 应 于 B 计算 为 真 和 假 的 子 目 标 。 典 型 情况 下 ， 
前 置 条 件 $ 没有 告诉 我 们 关于 布尔 表达 式 B 的 值 的 任何 事情 ， 因 此 我 们 必须 考虑 两 种 情况 。 
车 在 开始 进入 的 状态 下 B 为 真 ， 则 执行 C, ， 因 此 C, 必须 将 4 状态 变换 为 y 状态 ; 另 一 种 情 
Bie, EBAR, MHT C 并 由 C 来 做 这 项 工作 。 于 是 ,我 们 必须 证 明 ( | ^B8|)C 
(ly|) 和 (16 ^ 一 B|)C,(|y|)。 注 意 ， 前 置 条 件 分 别 被 8 是 真 和 假 的 知识 所 增强 。 对 完成 
各 自 的 子 证 明 ， 这 个 附加 信息 经 常 是 关键 的 。 

while 语句 。 图 4-1 给 出 的 while 语句 的 规则 无 疑 是 最 复杂 的 ， 原 因 是 在 我 们 的 语言 
while 语句 是 最 复杂 的 构造 。 它 是 仅 有 的 “循环 ”命令 ， 即 执行 同一 段 代码 若干 次 。 此 外 ， 不 
如 Java 语言 中 的 for 语句 ， 一 般 我 们 不 能 预测 while 语句 将 循环 多 少 次 ， 或 者 根本 就 不 知道 
它 是 否 可 以 终止 。 

关于 部 分 while 证 明 规则 中 的 关键 因素 是 “不 变量 ”yy。 一 般 地 ,命令 while(8) {C| 的 程 
序 体 C 会 改变 它 所 操作 的 变量 的 值 ;但 不 变量 表达 了 在 C 的 任何 执行 下 都 保持 不 变 的 值 之 间 的 
一 个 关系 。 在 这 个 证 明 规 则 中 ,yy 表达 了 这 个 不 变量 ， 规则 前 提 (|6 4 Bl) CC y aR: 
FERT CZN, VM BAH, BCIE, WARY HK. BBS while 的 结论 表明 ， 无 论 
EF CTS DK, MRA y HH, A while 语句 终止 ， 那 么 结束 时 由 仍 为 真 。 此 
外 ， 因 为 while 语句 终止 了 ， 故 B 将 为 假 。 

一 活 。 演 算 中 所 需要 的 最 后 一 个 规则 是 图 4- 1 的 列 涵 规则 。 若 我 们 证 明了 ( |$|)P(|y|), 而 
且 有 一 个 蕴涵 由 的 公式 $'， 以 及 另 一 个 y 所 蕴涵 的 公式 yw'， 则 应 该 也 能 证 明 (1$'|) 
P( jy'|)。 矢 列 Fxn$ 一 $9' 是 有 效 的 ， 当 上 且 仅 当 存 在 用 谓词 逻辑 的 自然 演绎 演算 所 作 的 由 的 
一 个 证 明 ， 其 中 由 和 标准 算术 定律 是 前 提 ( 例 如 Vx(x =2+0)), ER, AM PS 
条 件 被 加 强 ( 于是， 可 以 作 超过 需求 的 假设 ) ， 而 后 置 条 件 被 减弱 ( 即 我 们 得 到 的 结论 比 能 得 
到 的 少 )。 如 果 我 们 试图 颠倒 过 来 做 ， 即 减弱 前 置 条 件 或 加 强 后 置 条 件 ， 那 么 我 们 会 得 到 不 
正确 的 结论 一 一 见 练习 4.3 的 9(a) 。 

蕴 洱 规则 在 程序 逻辑 和 谓词 逻辑 的 一 种 适当 扩充 之 间 起 到 了 连接 作用 。 它 允许 我 们 将 经 
算术 基本 事实 扩充 后 的 (为 了 做 整数 表达 式 的 推理 这 是 必需 的 ) 谓词 逻辑 中 的 证 明 导 人 ， 使 
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之 成 为 程序 逻辑 中 的 证 明 。 
4.3.2 ADS 


图 4-1 给 出 的 证 明 规 则 的 形式 在 实例 中 应 用 起 来 并 不 容易 。 为 说 明 这 一 点 ， 图 4-2 PR 
述 了 一 个 证 明 的 例子 。 它 是 三 元 组 ( | 下 | )Facl(|y=x!|) 的 一 个 证 明 ， 其 中 raci 是 
例 4.2 中 给 出 的 阶乘 程序 。 这 个 证 明 缩写 了 规则 名 ， 省 略 了 赋值 规则 的 横 线 和 名 称 ， 以 及 到 
涵 规 则 所 有 应 用 的 关于 Fa 的 矢 列 。 我 们 还 没有 为 读者 提供 足以 自己 完成 证 明 的 信息 ， 但 读 
者 至 少 可 以 使 用 图 4-1 中 的 规则 来 检验 该 证 明 中 的 所 有 规则 实例 是 否 可 允许 的 ， 即 是 否 与 所 
要 求 的 模式 相 匹配 。 
显然 这 种 形式 的 证 明 使 用 起 来 很 笨拙 。 证 明 式 会 变 得 很 宽 ， 许 多 信息 从 一 行 复制 到 下 一 
行 。 用 这 种 方法 证 明 比 Faci 更 长 的 程序 的 性 质 将 非常 困难 。 由 于 同样 的 原因 ， 在 第 1、2、 
5 章 中 ， 我 们 放弃 了 证 明 的 树 表示 。 顺 序 复合 规则 建议 了 一 种 表示 程序 逻辑 证 明 更 方便 的 方 
法 ， 称 为 证 明 布 景 (proof tableaux) 。 我 们 可 以 将 核心 编程 语言 的 任何 程序 看 成 一 个 序列 
Ci; 
Cy; 


C, 
其 中 命令 C; 都 不 是 更 小 程序 的 复合 ， 即 上 述 所 有 C 或 者 是 赋值 语句 ,或 者 是 ff 语句 或 者 
while 语句 。 当 然 ， 允 许 这 语 名 和 while 语句 有 符 套 的 复合 。 

设 P 代 表 程序 C; CG; …; C,_1; Co BEREH: 对 前 置 条 件 g。， 后 置 条 件 6,， 矢 
BiFa llb D PCG AA RA, 可 以 将 此 问题 分 成 更 小 的 问题 ， 尝 试 寻找 公式 
中 (0 <j<n)， WB i=0, 1, ©, n-1, bee 18,|) Ca Coena |) 有 效 。 我 们 应 该 设计 一 
种 证 明 演算 ， 表 示 通 过 公式 与 代码 的 交织 给 出 Fuu( | $1)P( lb, |) 的 一 个 证 明 ， 如 下 所 示 ， 


del) 
Ci; 

(leil) justification 
C3; 

(| -|) justification 
C,; 

(| 和 |) justification 


针对 每 个 公式 ， 写 出 一 个 理由 ， 其 本 质 将 很 快 澄清 。 于 是 ， 证 明 布景 由 程序 代码 与 公式 
交织 构成 ,我们 称 为 中 间 条 件 ， 在 写 有 它们 的 位 置 上 应 该 成 立 。 
每 个 迁移 
Cel) 
Ci 


Coml) 
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Ha Th Fy Bi TT PIER Toed GYR AR T-t 


(lit = A[){zah = A T+Z = Z} (x =į Z) OTTUA fo = Z fT = A(| 1 ]) 
2 
_—_— ee 
=i 2) etrua(io = zv1=Al) (lo=zVI=Al)o = z tt = £()1)) 


(lit =4]){Zek = A :T+2 = z} (x =i 
2 
(lo=zvt=Al)o = z(t =A) (It =Al)t = (jL) 
2 2 
(lo=zvr=Aj)o = 2z(lo=ovt=4l) (| =Al)t = A({t = 11) 








t 
(|£ = z v jz = Ail) {20k = Á :t+2 = Z} (x =j 2) eTtya(|jz = A|) 


m 











(liz = A|) zak = £ :T+2 = z (|£ Æ zV jz = f|) 
3 一 一 一 ”- - 
(liz = Af) Zx = £(liz =z - AJ) (liz =2-Al)q+z = z (|£ Æ zvy jz = Aj) 


2 
(liz =z - Al) tz = z (|i(t +2) = (1 +2) - Af) 
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都 要 用 到 图 4-1 中 的 一 个 规则 ， 取 决 于 C,,, 是 赋值 、 计 语句 还 是 while 语句 。 注 意 ， 这 种 证 
明 记号 使 图 4-1 中 的 复合 证 明 规则 不 明显 出 现 。 

应 该 如 何 寻找 中 间 公式 d, 呢 ? 原则 上 ， 似 乎 可 以 从 6, 开始 ， 应 用 C 得 到 $, ， 并 继续 
向 下 进行 。 然 而 ， 由 于 赋值 规则 是 反 向 起 作用 的 ， 因 此 ， 从 , 开始 向 上 进行 会 更 方便 ， 应 
用 C, 得 到 由 FE, 

定义 4.12 从 C, 和 由 ,得 到 的 过 程 称 为 给 定 后 置 条 件 由, ， 计 算 Ca 的 最 弱 前 置 
条 件 。 也 就 是 说 ， 和 寻找 逻 辑 上 最 弱 的 公式 ， 它 在 开始 执行 C,, ,时 为 真 足以 保证 $180 

关于 (1$1) Ci; …; C,( |y|) 的 证 明 布 景 的 典型 构造 如 下 从 后 置 条 件 少 开始 ， 通 过 
C, 将 其 向 上 推 ， 然 后 是 C,.， ，…， 直 到 在 最 顶端 出 现 一 个 公式 d'o MARAT, AR $' 代 
表 保证 成 立 的 最 弱 前 置 条 件 ， 如 果 复合 程序 C; CG; =; Cas C, 执行 后 终止 。 然 后 ， 
检验 最 弱 前 置 条 件 是 否 能 由 已 知 的 前 置 条 件 6 得到。 于是， 求助 于 图 4-1 中 的 蕴涵 规则 。 

在 讨论 如 何 寻找 while 语句 的 不 变量 之 前 ， 先 考察 一 下 赋值 和 站 语句 ， 看 看 如 何 计算 它 


们 的 最 弱 前 置 条 件 。 
赋值 。 赋 值 公理 很 容易 改写 为 适合 证 明 布景 的 形式 。 于 是 ， 我 们 将 其 写成 
C|p[E/x] |) 
X = 五 
(|y|) 赋值 


理由 是 针对 所 写 的 ， 一 旦 证明 被 构造 出 来 ， 我 们 希望 能 正 向 阅读 它 。 构 造 本 身 是 反 向 进 
行 的 ， 因 为 这 种 方式 使 赋值 公理 更 易 使 用 。 

萄 涵 。 布 景 形式 的 荀 洱 规 则 人 允许 我 们 在 公式 6, 下 面 直接 写 出 另 一 个 公式 $,， 其 间 没 有 
代码 ， 只 要 在 矢 列 F ad 一 有 效 的 意义 下 由 AM $,。 于 是 ， 葡 酒 规则 起 到 了 带 算术 的 谓 
词 逻 辑 与 程序 逻辑 间接 口 的 作用 。 这 是 一 个 令 人 惊讶 而 关键 的 洞察 。 部 分 正确 性 证 明 演 算是 
一 个 混合 系统 ， 它 只 能 通过 蕴涵 证 明 规则 与 另 一 个 证 明 演算 接口 。 

本 章 的 重点 在 于 程序 逻辑 ， 当 使 用 蕴涵 规则 时 ， 通 常 都 不 明确 写 出 谓词 退 辑 中 至 涵 的 证 
明 。 大 多 数 情况 下 ， 我 们 遇 到 的 典型 蕴涵 都 很 容易 验证 。 

蕴涵 规则 经 常用 于 简化 由 应 用 其 他 规则 所 生成 的 公式 。 在 通过 整个 程序 将 后 置 条 件 向 上 
推 以 使 最 弱 前 置 条 件 由 出 现 的 过 程 中 也 用 到 了 蕴涵 规则 。 我 们 使 用 蕴涵 规则 证 明 给 定 的 前 
置 条 件 蕴涵 最 弱 前 置 条 件 。 我 们 来 看 一 些 说 明 这 种 情况 的 例子 。 


例 4. 13 
1. 我 们 证 明 Hue(ly=5l)x=y+l(|x=6|) 是 有 效 的 ， 
(|y=5|) 
(ly+1 =6|) 蕴涵 
x =ytl; 
(|x =6]) 赋值 


证 明 由 底 向 上 构造 。 从 ( |* =61|) 开 始 ， 使 用 赋值 公理 ， 通 过 x =y +1 向 上 推 。 这 意味 着 x 的 所 有 出 现 都 
Fly +1 代替， 产生 结果 ( |y+1 =61)。 现 在 ,将 其 与 已 知 的 前 置 条 件 ( |y =5 |) 比较 。 已 知 的 前 置 条 件 和 算 
术 事 实 5 +1=6 蕴涵 它 ， 故 完成 了 证 明 。 





O 申 比 少 弱 意味 着 在 用 算术 基本 事实 扩充 的 谓词 逻辑 中 ， 由 为 y HRB: iba y> 是 有 效 的 。 我 们 想 要 最 
弱 的 公式 ， 因 为 我 们 希望 为 前 面 的 代码 提出 尽 可 能 少 的 约束 。 在 某 些 情况 下 ， 特 别 是 涉及 while 语句 的 情况 ， 
也 许 不 可 能 抽取 出 逻辑 上 最 弱 的 公式 。 我 们 只 需要 一 个 充分 弱 的 公式 ， 使 我 们 能 完成 手头 的 证 明 就 行 了 ， 
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尽管 证 明 是 自 底 向 上 构造 的 ， 但 其 理由 由 上 往 下 读 也 有 意义 。 第 一 行 蕴涵 第 二 行 ， 而 第 四 行 由 第 二 行 
通过 其 间 的 赋值 得 到 。 i 
2. 我 们 证 明 上 pe( ly <3 y =y +1( |y<41) 的 有 效 性 : 


(ly<31) 
(|y+1 <4|) 蕴涵 
Y=Y+1; 
(ly <4) 赋值 


注意 ,蕴涵 总 是 参考 其 紧 挨 着 的 前 一 行 。 如 前 面 提 到 过 ， 程 序 逻 辑 中 的 证 明 一 般 结 合 了 两 种 逻辑 层次 : 第 
一 层 直接 与 程序 构造 (如 赋值 语句 ) 有 关 的 证 明 规则 ; 第 二 层次 是 通常 的 推导 (由 第 1、2 章 我 们 已 经 热 悉 这 
种 推导 ) 加 上 算术 事实 ， 此 处 ，y <3 MB y+b<3 +1 =4。 
为 了 一 些 与 给 定 代码 毫 无 关系 的 原因 ， 可 以 用 通常 的 逻辑 和 算术 蕴涵 把 某 个 条 件 6 变 为 由 所 蕴涵 的 任 
何 条 件 履 。 在 上 述 例子 中 , 由 是 y<3， 它 所 蕴涵 的 公式 由 是 y+1<4。 矢 列 Han(y<3) 一 (y+1<4) 有 效 的 
根源 在 于 关于 整数 以 及 其 上 定义 的 关系 < 的 一 般 事 实 。 完 整 的 形式 证 明 需 要 将 附属 于 蕴涵 规 则 所 有 实例 的 
证 明 都 分 离 出 来 。 如 已 经 说 过 的 那样 ， 这 里 我 们 这 样 做 ， 因 为 本 章 重 点 在 于 直接 处 理 代 码 的 证 明 。 
3. 对 于 赋值 语句 的 顺序 复合 
Zz = X; 
z= z+ y; 
u= z; 
我 们 的 目标 是 证 明 : 在 这 个 赋值 序列 终止 后 ,wu 存储 x 与 y 的 和 。 用 P 表示 上 述 代码 ， 于 是 ， 要 证 明 
Fol | T | )PClusat+y]). 
按 如 下 方式 构造 证 明 : 从 后 置 条 件 w=x +y 开始 ， 按 相反 的 次 序 ， 使 用 赋值 规则 ， 将 其 通过 赋值 向 
上 推 。 
一 通过 u = z 往 上 推 涉及 将 4 的 所 有 出 现 用 z 代替， 得 到 结果 z=x+y。 于 是 ， 有 证 明 段 
(lz=%«+y|) 
u= zZ; 
(ju=x+y|) RË 
一 通过 z=z+y 将 z=x+y 向 上 推 涉及 将 z 替换 成 z+y， 得 到 结果 z+y=x+y。 
一 通过 z =x 将 该 结果 向 上 推 涉及 用 * 替换 z， 得 到 结果 x+y=x+y。 现 在 证 明 如 下 : 
(lx+y=x+y)) 


(|z+y=x+y|) 赋值 
z=Z +Y; 

(|z=x+y|) 赋值 
u= Z; 


(|u=x+y|) 赋值 
于 是 出 现 的 最 弱 前 置 条 件 是 x +y =x +y。 必 须 验证 这 可 由 已 知 的 前 置 条 件 二 得 出 。 这 意味 着 验证 满足 本 的 任 
何 状态 也 满足 x+y=x+y。 好 了 ， 所 有 状态 都 满足 本 ,但 也 满足 ++y =x+y， 因 此 ， 矢 列 | a 一 (x +y= 
x+y) 是 有 效 的 。 

最 终 完整 的 证 明 如 下 : 

(IT) 

(|x+y=x+y|) AM 

Z= xX; 


(lz+y=x+yl) RUA 
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z=Z +y; 
(|z=x+y|) 赋值 
u= Z; 
(lu =x+y]) 赋值 
现在 我 们 可 以 从 上 往 下 读 。 


赋值 公理 的 应 用 需 小 心 。 我 们 描述 两 个 因 粗 心 不 正 确 地 使 用 规则 ， 可 能 导致 的 缺陷 。 
。 考虑 “证 明 ” 的 例子 : 


(|x+1=x+1|) 
x=x+1; 
(|x =x%+1]) 赋值 
它 不 正确 地 使 用 了 赋值 规则 。 匹 配 赋值 公理 的 模式 意味 着 销 必 须 是 x =x+1， 表 达 式 EE 是 x*+1, 且 
wl ELxz] 是 x+1=x+l。 然而 , 峭 [ BAx] 是 通过 将 zx 在 少 中 的 所 有 出 现 都 替换 成 已 得 到 的 ， 于 是 ， 
LE/x] 必 须 等 于 x+1=x+1+1。 因 此 ,正确 的 证 明 为 : 
(lx+l=x+l+ll) 
X=X+1; 
(|x=x+ 11) 赋值 
KEHF al |x+1=x+1+1|)x=x+1(|x=x+1|) 是 有 效 的 。 
顺便 说 一 句 ， 这 个 正确 的 证 明 不 是 很 有 用 。 该 三 元 组 车 在 一 个 状态 下 x+1=(x+1) +1 成 立 ， 
且 执 行 赋值 x =x +1 并 终止 ， 则 结果 的 状态 满足 x =x+1; 但 是 ， 因 为 前 置 条 件 x*+1=x+1+1 永 
远 不 为 真 ， 这 个 三 元 组 没有 告诉 我 们 关于 赋值 的 任何 有 用 的 信息 。 
不 正确 使 用 赋值 证 明 规则 的 另 一 种 方式 是 在 y[E/x] 和 x = 之 间 人 允许 出 现 多 余 的 赋值 ， 如 在 下 列 
“证 明 ” 中 
(lx+2=y+1|) 
y =y +1000001; 
xX =x+2; 
(|x =y+ 1!) 赋值 
这 不 是 赋值 规则 的 正确 应 用 ， 因 为 第 2 行 出 现 了 一 个 多 余 的 赋值 ， 正 好 在 第 4 行 的 推理 要 用 的 实际 
赋值 之 前 。 附 加 的 赋值 使 这 个 推理 变 得 不 合理 ; 第 2 行 改写 了 y 的 当前 值 ， 而 第 1 行 的 方程 要 参考 
这 个 值 。 显 然 ， x +2 =y +1 不 再 为 真 。 因 此 ， 只 有 在 前 置 条 件 y[E/x] 与 赋值 x =E 之 间 没 有 附加 
代码 时 ， 才 能 使 用 赋值 的 证 明 规则 。 


If 语 和 句 。 现 在 我 们 考虑 如 何 将 后 置 条 件 通 过 一 条 过 语句 向 上 推 。 假 定 已 知 一 个 条 件 沙 和 


程序 段 if(B) {Cielse1C,1。 我 们 希望 计算 最 弱 的 >, A 


(|p| £(B) IC, felse{C,} (fyl) 


这 个 中 可 以 计算 如 下 : 

1. 通过 C, Hy MLE, KARA p ER, AAC, 可 能 是 其 他 命令 序列 ， 这 会 涉及 使 用 别 的 规则 。 
车 C, 包括 另 一 条 让 语句 ， 则 这 一 步 涉及 对 站 语 句 规则 的 “递归 调用 ”。) 

2. 类 似 地 ， 通 过 C, 将 向 上 推 ,， 称 结果 为 pro 

3. $ p B(B+$,) ^C B9,) o 


例 4.14 我 们 来 看 这 个 证 明 规则 工作 于 本 章 前 面 给 出 的 关于 Succ 的 非 最 优 代码 上 的 情 


况 。 下 面 还 是 这 个 代码 ; 





a=x+1; 
if (a-1==0) { 
y= 1; 
} else { 
ya; 


} 
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证 明 Fue(|T|)succ(ly=x+ll) 是 有 效 的 。 注 意 这 个 程序 是 赋值 和 站 语句 的 顺序 复合 。 
于 是 ,需要 得 到 一 个 合适 的 中 间 条 件 ， 放 置 在 这 语句 和 赋值 之 间 。 

通过 过 语句 的 两 个 分 支 将 后 置 条 件 y =x+1 向 上 推 ， 得 到 

e 路 是 1=x+l; 

© 中 ,是 ac=x+li 

借助 于 下 语句 规则 的 一 个 稍微 不 同 的 版 本 

ADECCO Ce DGaCy) 
(| (B $,) (7B g,) iE BIC lelselC,} (|y|) 

得 到 中 间 条 件 (a -1 = 0-1 =x +1) A(7(a-1=0)>a=241), 

然而 ， 这 个 规则 可 由 到 目前 为 止 已 经 讨论 过 的 证 明 规 则 导出 ， 见 练习 4.3 的 9(c)。 现 
在 ， 部 分 证 明 看 起 来 如 下 : 


下 语句 (4-7) 








CITI) 
(1?1) ? 
a=xi+l; 
(|(a@-1 041 =44+1)A(7(a-1=0)>a=%+41) |) ? 
if(a-1 ==0)| 
([1=«+1]) 让 语句 
y=1; 
(|y=x+1|) | 赋值 
jelse| 
(|a=x+1]) if fa) 
Y =a; 
(ly=x+1]) 赋值 
| 
(|y=x+1|) 语句 


继续 这 个 例子 ， 将 ff 语句 上 面 的 长 公式 通过 赋值 向 上 推 ， 得 到 
(x+1-1 5051 =x+1)^A(=(x+1-1 =0)>x+1=x+1) (4-8) 
我 们 需要 证 明 它 为 给 定 的 前 置 条 件 T 所 蕴涵 ， 即 它 在 任何 状态 下 都 为 真 。 事 实 上 ， 简 化 式 (4-8) 
给 出 
(x=0—>1=x+1)^(=(x = 0) 5x 41 =x+1) 


和 两 个 合 取 项 ， 因 此 它们 的 合 取 式 显然 都 是 有 效 蕴 涵 。 现 在 上 面 的 证 明 可 完成 如 下 ; 


(IT) 
(| (#+1-1 5041 =441)A(4(x 41-1 20)—0 41 5241) 1) Bw 
a=xil; 
(|(@-1=0-1 =%+41)A(4(a-1 =0)-a=% +41) ]) 赋值 
if(a-1==0)| 
(|1=x+ll) 让 语句 
y=1; 
(ly=x+ll) 赋值 


lelsel 
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(|a=x+1]) po 
Y =a; 
(|y=x+1|) ein 
| 
(|y=x+1|) E 


while 型 语句 。 回 顾 图 4-1 中 的 while 语句 的 部 分 正确 性 证 明 规 则 是 以 下 列 形式 表述 
的 ， 此 处 用 ”代替 光 : 


(Ina BDC yl) l 
Ain sein? g 1s 
(in Dniie Ci yang 部 分 while (4-9) 


在 考察 如 何 用 证 明 布 景 表 示 部 分 while 之 前 ， 先 详细 看 看 这 个 证 明 规 则 背后 的 思想 。 公 
A n tA while 语句 的 程序 体 C 的 不 变量 : 只 要 布尔 卫 式 B 为 真 ， 若 在 C 开始 之 前 7 WH, 
且 C 终止 ， 则 最 后 它 也 为 真 。 这 就 是 前 提 (|7 ^ B|)C(171) 要 表达 的 意思 。 

现在 假定 while 语句 从 一 个 满足 7 的 状态 开始 执行 一 次 可 终止 的 运行 ， 且 式 (4-9) 的 前 
提成 立 。 l 

。 若 我 们 开始 运行 while 语句 时 互 为 假 ， 则 C 根本 不 执行 。 没 有 发 生 改 变 n 真 值 的 任何 事情 。 故 while 

语句 以 7 AW B 结束 。 

。 若 开始 运行 while 语句 时 B 为 真 ， 则 执行 C。 由 式 (4-9) 中 规则 的 前 提 ， 在 执行 完 C 后 ，? 为 真 。 

一 车 现在 BAB, FIEF n^ B, 

—S BAR, 再 执行 C， n 重新 确立 。 按 这 种 方式 ， 无 论 执 行 C 多 少 次 ， 每 次 C 执行 完 之 后 ，y 都 会 重 
新 确立 。 这 个 while 语句 终止 ， 当 且 仅 当 在 C 执行 了 有 限 次 (包括 0 次 ) 后 ，B 为 假 ， 这 种 情况 下 ， 有 7 
AaB, 

这 段 论述 表明 : 部 分 while 关于 部 分 正确 性 的 满足 关系 是 合理 的 ， 意 思 是 使 用 它 所 证 明 
的 任何 事情 都 是 真 的 。 然 而 ， 如 其 表述 ， 它 只 能 允许 证 明 形 如 (|j17| ) while (B){C} 
(|n 人 ^ 一 B|) 的 事情 ， 即 后 慎 条 件 和 前 置 条 件 与 ~ B 的 合 取 相 同 的 三 元 组 。 假 定 对 某 个 不 与 
上 述 方式 相关 联 的 6 Ay, RINSE 

(|ġ|)while(B){C}(]y]) (4-10) 
在 这 样 的 场合 ， 如 何 使 用 部 分 while W? 

答案 是 必须 找到 一 个 合适 的 mn， 使 得 

1， 上 AR 中 一 人 

2. Farn ^m Bow 

3. Fpar( ||) while (B){C}( | ^An B|) 

都 是 有 效 的 ， 此 处 最 后 一 个 是 由 部 分 while 所 证 明 的 。 然 后 ， 由 荀 涵 规 则 推断 出 式 (4-10) 是 -- 
个 有 效 的 部 分 正确 性 三 元 组 。 

因而 ,问题 的 关键 是 找到 合适 的 不 变量 nm。 为 了 使 用 部 分 while 证 明 规则 ， 这 是 一 个 必 
须 的 步骤 ， 一 般 需 要 智慧 和 创造 性 。 这 与 ff 语句 和 赋值 证 明 规则 的 情形 形成 鲜明 对 比 ， 后 者 
在 本 质 上 纯粹 是 机 械 的 ， 其 使 用 不 过 是 上 推 符号 ， 并 不 需要 任何 更 深 的 思考 。 

找 出 合适 的 不 变量 需要 仔细 考虑 while 语句 真正 做 些 什 么 。 事 实 上 ， 已 故 著 名 计算 机 科 
学 家 E. Dijkstra 曾 说 过 ， 理 解 while 语句 等 价 于 了 解 其 关于 该 while 语句 的 已 知 前 置 条 件 和 后 
置 条 件 的 不 变量 。 

这 是 因为 一 个 合适 的 不 变量 可 以 解释 为 由 该 while 语句 所 实施 的 预期 计算 直到 当前 的 执 
行 步 又 都 是 正确 的 。 然 后 得 到 ， 当 执行 终止 时 ， 整 个 计算 都 是 正确 的 。 我 们 将 不 变量 形式 化 
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并 研究 如 何 寻 找 它们 。 

定义 4.15 while 语句 while(8) |C) 的 不 变量 是 使 得 Fu 人 (| ^B|)C( 1m|) 成 立 的 一 
个 公式 9; 即 对 所 有 状态 1， 若 7 ABEL FAR, AC 从 状态 7 开始 执行 并 终止 ， 则 在 结果 
状态 下 n VAR. 

注意 ,在 C 的 执行 过 程 中 ，” 不 必 持 续 为 真 。 一 般 情况 下 ， 它 也 不 会 一 直 为 真 。 我 们 所 
需要 的 是 : BEAT C 之 前 它 为 真 ， 则 (如 果 ) 当 C 终止 时 它 也 为 真 。 

任何 给 定 的 while 语句 都 有 若干 不 变量 。 例 如 ， 对 任何 while 语句 ， 工 是 一 个 不 变量 ， 上 上 
也 是 ， 因 为 蕴涵 “车 二 ^ B 为 真 ， 则 …” 的 前 提 是 假 的 ， 所 以 该 荀 涵 为 真 。 公 式 一 了 也 是 
while(B)dofCi 的 一 个 不 变量 ; 但 是 这 些 不 变量 中 的 大 多 数 对 我 们 都 没有 用 ， 因 为 要 寻找 
使 得 矢 列 F npn Albany A> Boy 都 有 效 的 一 个 不 变量 yn, HY $ M y 是 while 语句 的 前 
置 条 件 和 后 置 条 件 。 通 常 ， 这 是 从 所 有 可 能 的 不 变量 (不 考虑 逻辑 等 价 ) 中 仅 挑 选 出 一 个 。 

一 个 有 用 的 不 变量 表达 了 while 语句 的 程序 体 所 操作 的 变量 之 间 的 一 种 关系 ， 该 关系 为 
程序 体 的 执行 所 保持 ， 尽 管 变 量 本 身 的 值 可 能 会 改变 。 该 不 变量 经 常 可 以 通过 构造 执行 中 的 
while 语句 的 迹 来 找到 。 

例 4.16 考虑 4.2.1 节 的 程序 Facl 。 为 方便 讨论 ， 我 们 注释 了 位 置 标号 : 

=O; 

11: while (z != x) { 

Z=2+1; 
了 = 了 * Zi 

12: } 
假定 程序 从 一 个 x 等 于 6 的 状态 下 开始 执行 。 当 程序 流 在 位 置 11 第 一 次 遇 到 while 语句 时 ， 
z 等 于 0 且 y 等 于 1， 故 条 件 zA: 为 真 且 程序 体 被 执行 。 随 后 在 位 置 12 ，z 等 于 1，y 等 于 1 
且 布 尔 卫 式 仍 为 真 ， 故 程序 体 又 被 执行 。 按 这 种 方式 继续 ， 得 到 下 列 迹 : 


和 迭代 次 数 | z 在 11 处 的 值 |y 在 11 处 的 值 1B 在 11 处 的 值 


1 
1 
2 
6 











a A A u Nm“ O 
DRA A āe U Nm oO 
TO o ho y 





当 布 尔 卫 式 变 为 假 时 ， 程 序 停止 执行 。 

容易 看 出 这 个 例子 的 不 变量 为 “y =z!1”。 每 次 while 语句 程序 体 完成 运行 后 ， 这 个 事实 
都 为 真 ， 即 使 y Az 的 值 都 已 经 改变 。 此 外 ， 这 个 不 变量 有 所 需要 的 性 质 。 这 些 性 质 是 ， 

。 足够 弱 ， 以 至 能 被 while 语句 的 前 置 条 件 所 蕴涵 ， 基 于 初始 赋值 和 前 置 条 件 0! 将 1， 我 们 很 快 会 发 

现 while 语句 的 前 置 条 件 是 y=1 和 人 z=0。 
。 但 也 足够 强 ， 与 布尔 卫 式 的 否定 一 道 ， 蕴 涵 后 种 条 件 “y =x1”。 
也 就 是 说 ， 矢 列 
Faly=l1^z=0)>(y=z!) 和 Far(y = z!Ax =z)—=(y =x!) (4-11) 
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是 有 效 的 。 

如 此 例 所 示 ， 一 个 合适 的 不 变量 经 常 通过 考察 后 置 条 件 的 逻辑 结构 而 发 现 。 图 4-2 就 是 
使 用 这 个 不 变量 给 出 了 阶乘 例子 的 树 形 式 的 完整 证 明 。 

在 证 明 布 景 中 如 何 使 用 while 规则 呢 ? 需要 考虑 如 何 将 任意 后 置 条 件 y 通过 while 语句 
向 上 推 ， 直 到 满足 前 置 条 件 po HRE: 

1. 猜测 公式 nn， 希望 它 是 一 个 合适 的 不 变量 。 

2. ZWERF ann 人 一 Boy Alb andon 是 有 效 的 ， 其 中 B 是 while 语句 的 布尔 卫 式 。 若 两 个 证 明 都 成 
功 了 ， 转 到 3。 否 则 (车 至 少 有 一 个 证 明 失 败 )， 回 到 1。 

3. 通过 while 语句 的 程序 体 C 将 ?9 向 上 推 ; 这 涉及 使 用 其 他 规则 (由 C 的 形式 决定 )。 将 出 现 的 公式 命 
ZA N'o 

4. 尝试 证 明 H any A B 一 59' 是 有 效 的 。 这 证 明 yp 的 确 是 不 变量 。 若 你 成 功 了 ， 转 到 5。 和 否则 回 到 1。 

5. 现在 ,在 while 语句 的 上 面 写 出 ,在 ”的 上 面 写 出 $89。 基于 第 2 步 中 HAnd-?y 有 效 性 的 成 功 证 明 ， 
用 一 个 蕴 酒 实例 注释 n HSER! 

例 4.17 我 们 继续 阶乘 的 例子 。 将 y=x! 通过 while 语句 向 上 推 得 到 部 分 证 明 。 于 是 ， 
验证 假设 y =z! 是 一 个 不 变量 如 下 : 


y=i; 
z=0; 
(ly =z!) ? 
while(z! =x){ 
(ly =z! Az¥x|) 不 变量 假设 ^ 卫 式 
(|y: (z+1) =(241)!]) 蕴涵 
z=2+1; 
(|y:z=z!|) i 赋值 
Y=Y*2; 
(|y=z!|) 赋值 
} 
(|y=zx!|) ? 


y=2] 是 否 为 合适 的 不 变量 依赖 于 三 件 事情 : 

。 能 够 证 明 它 确 实 为 不 变量 ， 即 y=z! Wy (z+1) = (z+1)4。 的 确 如 此 ， 只 要 在 y =z! 的 两 边 都 
Riz +1, FRBAF A 4.2 中 的 (z+1)! 的 归纳 定义 即 可 。 ' 

。 能 够 证 明 n 足够 强 ， 与 布尔 卫 式 的 否定 一 起 蕴涵 后 置 条 件 。 这 也 成 立 ,因为 x=z! Ms -2 蕴涵 
y=zx!。 

。 能 够 证 明 足够 弱 ， 能 为 while 语句 之 前 的 代码 所 确立 。 这 正 是 我 们 不 断 将 结果 通过 while 语句 之 前 
的 代码 向 上 推 所 证 明 的 。 

继续 ， 通 过 z =0 推 Y=z! 得 到 结果 y=0!， 而 通过 y =1 再 推 y=01 得 到 1=0!1。 后 者 

在 所 有 状态 下 都 成 立 ， 因 为 0! 定义 为 1， 故 它 为 所 蕴涵 ; 我 们 的 完整 证 明 是 : 


(ITI) 

(|1 =0!]) 蕴涵 
Y=1; 

(|y=0!1) 赋值 


z=0; 
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(|y=z!|) 赋值 
while(z! =x){ 
(ly =z! Az#x|) 不 变量 假设 ^ 卫 式 
(lyt (z+1)=(z+1)!|) 蕴涵 
z=Z+1; 
(ly*: z=z!|) RË 
Y=y* Z; 
(|y=z!|) 赋值 
| 
(|y=z! an(z#x) |) 部 分 while 
(|y=x!|) 蕴涵 


4.3.3 案例 研究 : 最 小 和 截 段 


通过 验证 计算 整数 数组 最 小 和 截 段 的 程序 ， 我 们 再 次 实践 while 语句 的 证 明 规 则 。 为 
此 ， 我 们 用 整数 数组 扩充 核心 程序 设计 语言 。 例 如 ， 可 以 声明 数组 : 

int aln]; 

EWA FA a, MAAR H alo], all], =, aln-1]wh, HF n 是 某 个 常数 。 一 般 
地 ， 我 们 允许 用 任何 整数 表达 式 EE 计算 内 容 索 引 ， 如 a[E1。 确 保 由 EE 计算 出 的 值 总 在 数组 
界限 之 内 是 程序 员 的 责任 。 

定义 4.18 设 a[01]，…, aln -1 是 数组 a 的 整数 值 。a 的 截 段 是 一 个 连续 的 片段 
ali], , alj], 其 中 0<i<j<n。 我 们 写 S ,表示 这 个 片段 的 和 : ali] +afi+1] +- 
+a[7] 。 最 小 和 截 段 是 a 的 截 段 a[i] ，…，a[ 站 ,使 得 该 截 段 的 和 5, ,小 于 或 等 于 a 的 任何 
HERR alil, =, al JHMM Sejo 

例 4.19 用 整数 数组 [ -1, 3, 15, -6, 4，-5] 为 例 说 明 这 些 概念 。[3，15，--6] 和 
[ -6] 都 是 截 段 ,但 [3，-6, 4] 不 是 ， 因 为 丢掉 了 15。 这 个 特殊 数组 的 一 个 最 小 和 和 截 段 是 
[ -6, 4，-51， 其 和 为 -7; 此 时 ， 它 是 仅 有 的 最 小 和 截 段 。 

一 般 情 况 下 ， 最 小 和 截 段 不 必 叭 一。 例如， 数组 [1，-1, 3，-1, 1] 有 两 个 最 小 和 截 
Bell, -1] Ml -1，1]， 最 小 和 都 是 0。 

现在 面临 的 任务 是 : 

。 用 经 整数 数组 扩充 的 核心 编程 语言 编写 一 个 程序 Min_ sum， 它 计算 给 定数 组 的 最 小 和 截 段 的 和 ; 

。 将 该 问题 的 非 形式 需求 (前 一 任务 中 已 经 给 出 ) 变换 为 关于 程序 Min_ sum 行为 的 形式 规范 ; 

。 使 用 部 分 正确 性 证 明 演算 证 明 Min_ sum 满足 这 些 形 式 规范 ， 只 要 它 终 止 。 

有 一 个 明显 的 程序 可 以 做 这 项 工作 : 列 出 给 定数 组 的 所 有 可 能 的 截 段 ， 然 后 遍历 这 些 截 
段 的 列表 ， 计 算 每 个 截 段 的 和 ， 并 将 当前 的 最 小 和 保存 在 一 个 存储 位 置 中 。 以 数组 [ -1， 
3，-2] 为 例 ， 结 果 的 截 段 列表 为 : 

[~1],f-1,3],[-1,3, -2],[3],[3, -2],[-2] 
我 们 看 到 只 有 最 后 一 个 截 段 [ -2] 产 生 最 小 和 -2。 这 个 思想 可 以 很 容易 用 我 们 的 核心 编程 
语言 进行 编码 ， 但 它 有 一 个 严重 缺陷 : 给 定 长 度 为 n 的 数组 ， 其 截 段 个 数 与 的 平方 成 正 





O 在 随后 的 程序 Min_ sum 中 ， 我 们 仅 从 数组 中 读 取 数 据 。 向 数组 中 写 人 数据 会 带 来 另外 的 问题 ， 因 为 一 个 数组 
元 素 可 以 有 几 个 语法 上 不 同 的 名 称 ， 而 这 些 必 须 为 演算 所 考虑 。 
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比 。 如 果 我 们 还 必须 计算 所 有 截 段 的 和 ， 那 么 我 们 的 任务 在 最 坏 情 形 下 的 时 间 复 杂 度 为 上 
m = 六 。 从 计算 观点 看 ， 要 付出 的 代价 太 昂贵 ， 所 以 ， 我 们 应 该 更 仔细 地 考察 这 个 问题 ， 看 
是 否 能 做 得 更 好 些 。 

我 们 是 否 能 仅 遍历 数组 一 次 ， 就 可 以 用 与 n 成 正比 的 时 间 内 计算 出 所 有 截 段 的 最 小 和 ? 
直 党 上 看 ， 这 似乎 很 困难 ， 如 果 通 过 数组 时 仅 存 储 当前 看 到 的 最 小 和 ， 由 于 途中 可 能 会 遇 到 
一 些 大 正 数 ， 我 们 也 许 会 错过 以 后 出 现 的 某 些 大 负数 的 机 会 。 例 如 ， 假 定数 组 是 

[-8,3, - 65,20,45, - 100, - 8,17, - 4, - 14] 
我 们 应 该 解决 -8 +3 -65 呢 ， 还 是 试图 利用 -100 的 优势 呢 ? 记 住 : 我 们 只 能 遍历 数组 一 
次 。 在 这 个 例子 中 ， 整 个 数组 是 给 出 最 小 和 的 截 段 ， 但 很 难看 出 一 个 程序 如 何 能 仅 侦 历数 组 
一 次 就 可 以 探测 到 这 一 点 。 . 

解决 方法 是 通过 数组 时 存储 两 个 值 : 到 目前 为 止 所 见 到 的 最 小 和 (以 下 程序 中 的 *) 以 及 
到 目前 为 止 所 见 到 的 以 数组 中 当前 位 置 结束 的 所 有 截 段 的 最 小 和 (下 面 的 上 ) 。 下 面 的 程序 准 
备 做 到 这 一 点 。 

k=1; 

t = a[0]; 

s = a[0]; 

while (k !=n) { 

t = min(t + afk], alk]); 
s = min(s,t); 
k=k +1; 

} 

其 中 min 是 计算 两 个 参量 最 小 值 的 函数 ， 见 练习 4.3 10 PHA, AE k PARANE 
引 范围 ， 而 上 存储 以 a[ 结尾 的 截 段 的 最 小 和 。 只 要 程序 的 控制 流转 向 计算 其 while 语句 的 
布尔 表达 式 。 每 考察 一 个 新 值 ， 要 么 将 其 加 到 当前 的 最 小 和 上 ， 要 么 决定 开始 一 个 新 截 段 以 
得 到 更 小 的 和 。 变 量 * 存储 到 目前 为 止 看 到 的 最 小 和 ; 它 计算 到 目前 为 止 所 看 到 的 上 一 步 的 
最 小 值 或 者 是 以 当前 节点 结束 的 截 段 的 最 小 和 。 

如 你 所 见 ， 从 直观 上 看 ， 这 个 程序 正确 并 不 明显 ， 使 用 部 分 正确 性 演算 证 明 其 正确 才 是 
保证 。 然 而 ， 为 了 找 出 所 有 错误 ， 仅 用 几 个 例子 来 测试 程序 是 不 够 的 ， 读 者 也 不 会 确信 这 个 
程序 在 所 有 情况 下 的 确 能 计算 出 最 小 和 截 段 。 因 此 ， 我 们 尝试 使 用 本 章 引入 的 部 分 正确 性 演 
算 来 证 明 它 。 

我 们 将 程序 的 需求 形式 化 为 两 个 规范 ， 写 成 堆 尔 三 元 组 。 

S1. ( |T |)Min_ sum(| Vi,j(0 <i<j<n—3s<5,,)|)- 

CHM: 在 程序 终止 后 ，s shFREFRANEMRRAH, ER, iM eRe 
量 ， 不 作为 程序 变量 出 现 。 

S2.(| T | )Min_ sunm(|3ij(0<is<j<nAs=S)l)， 

它 说 存在 一 个 截 段 ， 其 和 为 s。 

若 存 在 一 个 和 为 * 的 截 段 而 且 没 有 和 比 s 小 的 截 段 ， 则 * 就 是 最 小 和 截 段 的 和 。S1 和 
S2 的 “ 合 取 ”给 出 我 们 想 要 的 性 质 。 | 

我 们 先 证 明 S1。 从 寻找 合适 的 不 变量 开始 。 如 常 ， 不 变量 的 下 列 特征 是 有 用 的 向 导 ， 

。 不 变量 表达 了 这 样 的 事实 : 到 目前 为 止 由 while 语句 所 实施 的 计算 是 正确 的 。 





O 记号 Vi, 7 是 Vi Vj 的 缩写 ,关于 3i, j 是 类 似 的 。 
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。 典型 地 ， 不 变量 与 期 望 的 while 语句 的 后 置 条 件 有 相同 的 形式 。 
。 不 变量 表达 了 while 语句 所 操作 的 变量 之 间 的 一 种 关系 ， 每 次 执行 while 语句 的 程序 体 ， 这 些 变量 都 
会 被 重建 。 
此 时 ， 一 个 合适 的 不 变量 似乎 是 
Invi(s,k)= Wij(0<i<j<k—os<S,,) (4-12) 

因为 它 说 :小 于 或 等 于 到 当前 计算 阶段 (用 表示 ) 为 止 观察 到 的 最 小 和 。 注 意 ， 它 与 期 望 的 
后 置 条 件 一 样 的 形式 。 我 们 用 代替 n， 因 为 最 后 的 值 是 n。 注 意 在 公式 中 i 和 j 受 量词 所 
约束 ， 因 为 它们 是 逻辑 变量 ， 而 是 程序 变量 。 这 说 明了 记号 Inv1(s，k) 的 合理 性 ， 它 突 
出 了 公式 只 有 作为 自由 变量 出 现 的 程序 变量 ;s,，k， 类 似 于 第 2 章 中 Alloy 的 fun 语句 的 
用 法 。 

如 果 用 这 个 不 变量 开始 产生 证 明 布 景 ， 很 快 就 会 发 现 它 还 没有 强 到 足以 作 此 项 工作 。 直 
观 上 看 ， 因 为 它 忽 略 了 1 的 值 。t 存储 了 刚好 在 afk] 前 结束 的 所 有 截 段 的 最 小 和 ， 这 个 和 在 
程序 背后 的 思路 中 是 关键 的 。 表 达 了 到 当前 计算 阶段 为 止 上 正确 的 一 个 合适 的 不 变量 是 


Inv2(t,k)== Vi(0 <i < kot <S,,,) (4-13) 
它 说 :不 大 于 以 alk -1] 结 束 的 任何 截 段 的 和 。 我 们 的 不 变量 是 这 些 公式 的 合 取 ， 即 
Invi(s,k) A Inv2(t,k) (4-14) 


图 4-3 给 出 了 关于 Min_ Sum 的 Sl 的 完整 证 明 布景 。 这 个 布景 按 如 下 步骤 构建， 
。 证 明 候选 不 变量 式 (4-14) 的 确 是 不 变量 。 这 涉及 将 其 通过 while 语句 的 程序 体 向 上 推 ， 并 证 明显 现 
出 的 公式 可 由 不 变量 和 布尔 卫 式 得 到 。 这 个 非 平凡 蕴涵 在 推论 4. 20 的 证 明 中 予以 说 明 。 
。 证 明 不 变量 与 布尔 卫 式 的 否定 足以 证 明 所 需 的 后 置 条 件 。 这 是 证 明 布 景 中 的 最 后 一 个 蕴涵 。 
证 明 不 变量 由 while 语句 前 的 代码 所 确定 。 只 需 将 其 通过 三 个 初始 赋值 向 上 推 ， 并 验证 结果 的 公式 
为 规范 的 前 置 条 件 ( 此 处 为 ) 所 蕴涵 。 











CIT) 
(|Invi(a[0], 1)AInv2(a[0], 1) |) 蕴涵 
k=1; 
(| Invi(a[0], &)atnv2(a[0], k) |) 赋值 
t=a[0]; 
(|Invi(a[0], k)aInv2(t, k) D 赋值 
s=a[0]; 
(| Invl(s, k)aInv2(¢, k) |) 赋值 
while(k! =n)| 
(|Invi(s, k)AInv2(t, k)ak#n|) 不 变量 假设 入 卫 式 
( | Inv1(min(s, min(t+a[ k], a[k])), k+1)AInv2 (min(t +a[k], 
a[k]), k+1) |) AM ( 3/38 4.20) 
t=min(t +a[k], a[k]); 
( | Invi(min(s, t), k+1)aInv2(t, k+1) |) Ria 
s=min(s, t); 
(| Invi (s, k+1)A Inv2(t, k+1) |) 赋值 
k=k+1; 
(| Invi(s, &)aInv2(t, k) pD 赋值 
(| Inv1(s， k)AInv2(t, k)ATA(k=n) D 部 分 while 
(| tnvi(s, n) |) Aik 





图 4-3 关于 Min_ Sum 的 规范 S1 的 布景 证 明 
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在 构造 证 明 布 景 时 ， 像 本 例 一 样 经 常会 出 现 两 个 公式 。 我 们 必须 证 明 第 一 个 公式 蕴涵 第 
二 个 。 有 时 这 是 容易 的 ， 因 而 只 需 注 意 布景 中 的 蕴涵 。 例 如 ， 容 易 看 到 本 蕴涵 Inv1 (a[0]， 
1)A Inv2(a[0], 1): XE Invi(a[0], 4) M Inv2(a[0], k) PRBRAR, kA 1B 
i, j 必须 为 0。 但 这 意味 着 其 结论 也 为 真 。 然 而 ,证明 不 变量 假设 列 涵 由 while 语句 程序 体 所 
计算 出 的 前 置 条 件 这 一 任务 揭示 了 此 程序 的 复杂 性 和 创造 性 ， 故 其 理由 需要 离线 来 考虑 

引 理 4.20 设 s, tt 是 任意 整数 ，n 是 数组 a 的 长 度 , 而 是 范围 在 0<k<n 中 的 数组 
的 索引 。 则 Invl(s, k)A Inv2(t, k)Ak¥n BH 

1. Invl(min(s, min(t+a[lk], a[k])), k+1) Al 

2. Inv2(min(t+a[k], a[k]), k+1) 

证 明 

1. 任 取 满足 0<i<k+1 的 i, HUE min(t+a[k], alk]) <S,,. Risk, WS =S talk], BD 
FNE min(e + alk], alk]) SS +a[k]， 我 们 知道 1:<5,,.,， 所 以 两 边 加 上 [4] 就 得 到 了 结果 。 否则 , i 
=k, S =a[k] ， 故 结果 成 立 。 

2. 任 取 满足 0<i<j<h+1 Wi, j, 证 明 min(s, t+alk], alk]) =S, Hi<j<k, 结果 是 直接 的 。 否 
则 i<j=k， 结 果 由 引 理 的 第 一 部 分 得 到 。 m 


4.4 完全 正确 性 的 证 明 演算 


在 上 一 节 中 ， 我 们 发 展 了 证 明 三 元 组 ( j$|)P(| 消 | ) 的 部 分 正确 性 的 一 种 演算 。 在 这 个 
框架 中 ， 证 明 伴随 着 一 定 的 放弃 : 仅 当 程序 PTA ILE, Fal 161) PC |y|) 的 证 明 才 能 
告诉 我 们 该 执行 的 一 些 信息 。 若 P 不 确定 地 “循环 ”， 部 分 正确 性 不 能 说 明 任 何 问题 。 本 节 
中 ， 我 们 将 部 分 正确 性 的 证 明 进 行 扩充 ,使 之 也 可 以 证 明 程 序 终 止 。 在 上 一 节 中 ， 我们 已 经 
指出 只 有 语法 构造 while B81C} 会 引起 非 确 定性 。 

因此 ， 除 了 while 语句 外 ， 完 全 正确 性 证 明 演 算 的 所 有 规则 与 部 分 正确 性 证 明 演 算 的 
相同 。 

while 语句 的 完全 正确 性 证 明 由 两 部 分 构成 :部 分 正确 性 的 证 明 以 及 给 定 while 语句 可 终 
止 的 证 明 。 通 常 ， 先 证 明 部 分 正确 性 是 个 好 主意 ， 因 为 这 经 常 为 可 终止 的 证 明 提 供 有 益 的 启 
示 。 然 而 ， 对 某 些 程序 来 说 ， 证 明 部 分 正确 性 要 求 终止 证 明 作 为 前 提 ， 如 练习 4.4 的 1(d) 
中 可 看 到 。 

终止 证 明 通常 具有 以 下 形式 。 识 别 一 个 整数 表达 式 ， 可 以 证 明 每 次 执行 所 讨论 的 while 
请 句 的 程序 体 之 后 ， 其 值 都 会 减 小 ， 但 总 是 非 负 的 。 若 我 们 可 找到 满足 这 些 性 质 的 表达 式 ， 
就 能 得 到 该 while 语句 一 定 终止 的 结论 ， 因 为 这 个 表达 式 在 变 成 0 之 前 只 能 递减 有 限 次 ， 原 
因 是 在 0 和 表达 式 的 初 值 之 间 只 有 有 限 个 整数 值 。 

这 样 的 整数 表达 式 称 为 变 体 (variant) 。 以 例 4. 2 的 程序 Faci 为 例 ， 适 当 的 变 体 是 x -z。 
每 次 执行 while 语句 的 程序 体 ， 该 表达 式 的 值 都 会 减少 。 当 它 为 0 时 ，while 语句 终止 。 

我 们 可 以 将 这 种 直觉 结合 到 下 列 完全 正确 性 规则 中 ， 它 取代 了 关于 while 语句 的 规则 ， 

(|In^ABAO0OSE= ElC(|InA0<E<E,|) 
([n^0 s E|)while B{C}(|ya-B|) 
在 这 个 规则 中 ， E 是 值 随 程序 体 C 的 每 次 执行 而 减少 的 表达 式 。 这 编码 为 : AE C 执行 前 ， 
其 值 等 于 逻辑 变量 的 值 ， 则 执行 后 它 严格 小 于 E。， 不 过 它 仍然 非 负 。 像 以 前 一 HF, n Æ 
不 变量 。 

在 布景 中 使 用 完全 while 规则 的 方式 与 部 分 while 的 类 似 ， 但 要 注意 现在 必须 要 证 明 规 

则 的 程序 体 C 满足 


完全 while (4-15) 
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(ln A BAO SE =E,|)E(|QA0 SE < E |) 
当 我 们 将 7 OSE <E, 通过 程序 体 向 上 推 时 ， 必 须 证 明 顶 上 出 现 的 公式 为 ny 和 人 人 B^ 人 0<E= 
E, 所 蕴涵 ， 而 且 整 个 while 语句 的 最 弱 前 置 条 件 ( 写 在 该 语句 之 上 ) 是 7 AIK<E, 
通过 证 明 Fw( |xz0|)Fac1(|y=x!l) 有 效 来 说 明 这 个 规则 ， 此 处 Faci 由 例 4.2 给 出 
如 下 : 
y=1; 
z= 0; 
while (x != z) { 
z=z+ 1; 
yry* Zz; 


前 面 已 经 提 到 过 ，x -z 是 一 个 合适 的 变 体 。 部 分 正确 性 证 明 的 不 变量 (y =z!) 仍 保留 。 我 们 


得 到 完全 正确 性 的 下 列 完整 证 明 : 
( [x>01) 
(|1=0!1^0<x-0|) 蕴涵 
Y=1; 
(ly =0140<x-0]) 赋值 
z=0; 
(|y=zl 0<% -z]) wa 
while(x! =z) { - 
(|y=z!^x# z^O<x-z=E,|) 不 变量 假设 ^ 卫 式 
(|y: (z+l)=(z+l)!^0<xz-(z+l) <E,|) Bw 
Z=Z+1; 
(ly+z=zlA0<x-z<E,|) 赋值 
Y=y* 23 
(ly =z! A0<x%-2<E£,|) 赋值 
| 
(|y=z! 人 ^x=z|) 完全 while 
(|y=x! |) 蕴涵 


因此 ，Fw( |x>0|)Facl(|y =x!|) 是 有 效 的 。 顺 序 做 两 点 评注 ; 
。 注意 ， 为 保证 刚好 在 while 语句 执行 前 0<xz -z 这 个 事实 ， 前 置 条 件 x*>0 是 关键 的 ， 它 蕴涵 了 证 明 
所 计算 出 的 前 置 条 件 1 =0! 和 0<x-0。 事实 上 ; 车 «开始 时 为 负数 ， 则 Faci 不 终止 。 
e while 语句 的 程序 体内 蕴涵 的 应 用 是 有 效 的 ， 但 关键 在 于 使 用 了 布尔 卫 式 为 真 的 事实 。 这 个 例子 表 
明 在 关于 while 语句 的 每 次 迭代 的 正确 性 推理 中 ， 都 需要 while 语句 的 布尔 卫 式 。 
我 们 可 能 想 知道 是 否 存在 这 样 一 个 程序 ， 给 定 一 个 while 型 语句 和 前 置 条 件 作 为 输入 ， 
该 程序 可 以 确定 是 否 该 while 语句 对 初始 状态 满足 前 置 条 件 的 所 有 运行 都 终止 。 可 以 证 明 不 
存在 这 样 的 程序 。 这 也 提示 了 有 用 表达 式 EE 的 自动 抽取 也 不 能 实现 。 像 本 书 中 讨论 的 大 多 
数 其 他 这 类 普遍 问题 一 样 ， 决策 或 提取 过 程 的 完全 机 械 化 的 愿望 是 不 能 实现 的 。 因 此 ， 寻 找 
可 以 起 作用 的 变 体 瑟 是 一 项 需要 技能 、 直 觉 和 实践 的 创造 性 工作 。 
我 们 考虑 一 个 示例 人 性 程序 Collatz， 它 传达 出 在 寻找 合适 的 终止 变 体 E 时 可 能 面临 的 
挑战 : 
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ahile (c t= 1) { 
if (c% 2220) {c=c / 2; } 
else { c = 3%c + 1; } 
} 
这 个 程序 将 x 的 初始 值 记 录 在 c 中 ， 然 后 重复 一 个 过 语句 ， 直 到 (如 果 )c 的 值 等 于 1。 主语 名 
测试 c 是 否 为 偶数 (可 被 2 整除 ) 。 若 是 偶数 ，c 存储 当前 值 被 2 除 后 的 值 ; 若 不 是 偶数 ，c 存 
储 “ 当 前 值 的 三 倍加 1”。 表 达 式 c /2 表示 整数 除 ， 故 11 /2 的 结果 是 5， 与 10 /2 一 样 。 
为 得 到 对 此 算法 的 一 些 感觉 ,考虑 x 的 值 是 5 时 的 执行 轨迹 : c 值 的 变化 为 5 16 8 4 2 
1。 另 一 个 例子 : A x 的 初始 值 是 172，c 值 的 演化 是 


172 86 43 130 65 196 98 49 148 74 37 112 56 28 14 7 22 
11 34 17 52 26 13 40 20 10 5 168 4 2 1 


为 到 达 终 止 状态 (<c 的 值 等 于 1) 需 要 重复 执行 32 次 while 语句 。 注 意 ， 这 个 迹 是 如 何 到 达 5 
的 ， 从 这 里 开始 继续 ， 好 像 5 就 是 x 的 初 值 。 

对 x 的 初始 值 123456789， 用 + (其 值 在 else 分 支 中 增加 ) 和 - (其 值 在 让 分 支 中 减 小 ) 
抽象 出 c 值 的 演化 : 


------ +--~--+-+--+-+-+-+-+-+--+--- 
-+----+--+--+--+-+---+-+----- +--+ 
-+--+----+------ +--+~-+--+-+-+--+- 
+-+-+--+---+-+-+--t+-+~--+-+-+-+-+- 
+---+-+-+-+----ł+--+-~-+----+--~--4+-+ 
a toe ee 


为 达到 终止 状态 while 语句 需要 迭代 177 次 。 虽 然 仍 能 保证 某 些 程序 终止 ， 但 上 述 与 变 体 相 
伴 的 + 和 -的 不 规则 模式 使 得 证 明 Collatz 对 x 为 正 初始 值 的 所 有 执行 都 可 终止 看 起 来 非 
常 困难 (即使 不 是 不 可 能 的 ) 。 


最 后 ， 我 们 考虑 一 个 真正 的 大 整数 : 

324987 23462509735034567279652376420563047563456356347563\ \ 
96598734085384756074086560785607840745067340563457640875\\ 
62984573756306537856405634056245634578692825623542135761\\ 
9519765129854122965424895465956457 


此 处 \\ 表示 数字 的 连接 。 尽 管 这 的 确 是 一 个 非常 大 的 数 ， 但 Collatz 程序 只 需 4940 KE 
代 就 可 以 终止 。 遗 憾 的 是 ， 没 有 人 知道 能 用 于 证 明 Hw(10<xl)collatz(|T|) 有 效 的 该 
程序 的 合适 变 体 。 注 意 到 用 工作 后 置 条 件 强调 了 该 夫 尔 三 元 组 只 关心 程序 终止 之 类 的 事情 。 
共有 讽刺 意味 的 是 ， 也 没有 人 知道 使 Collatz 不 终止 的 x 大 于 0 的 初始 值 。 事 实 上， 事情 
比 表面 看 起 来 的 更 微妙 : 车 在 collatz 中 用 一 个 关于 c 的 不 同 的 线性 表达 式 代 替 3 * 
c +1， 则 程序 可 能 不 终止 ， 尽 管 满足 前 置 条 件 0 <x; 见 练习 4.4 的 6。 


4.5 合同 编程 


对 有 效 的 矢 列 Fw( PDP 1y|)， 三 元 组 (18|)P(|y|) 可 以 看 作 程序 P 的 提供 者 与 消 
费 者 之 间 的 合同 。 提 供 者 坚持 要 求 消费 者 只 能 在 满足 的 初始 状态 下 运行 P。 此 时 ， 提 供 者 
向 消费 者 承诺 运行 的 最 终 状 态 满足 yw。 对 有 效 矢 列 上 -po( |$|)P( |y|) ， 后 者 的 保证 只 适用 于 
运行 终止 的 情况 。 

对 于 命令 式 编程 ， 霍 尔 三 元 组 的 有 效 性 可 解释 为 对 方法 或 过 程 调用 合同 的 确认 。 例 如 ， 
在 下 述 方法 的 程序 体 中 


int factorial (x: int) { ... return y; } 


程序 段 Facl 可 以 是 … 。 该 方法 的 代码 可 以 用 其 合同 假设 和 保证 来 注释 。 在 编译 过 程 中 ， 
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甚至 在 运行 时 (如 Eiffel 语言 ) ， 这 些 注 释 可 由 人 工 进 行 脱 机 检验 。 图 4-4 给 出 了 方法 
factorial 合同 的 一 种 可 能 格式 。 








method name: factorial 
input: x ofType int 
assumes: 0 <= x 
guarantees: y = XI 
output: ofType int 
modifies only: y 





图 4-4 方法 factorial 的 一 个 合同 


关键 词 assumes 叙述 了 所 有 前 置 条 件 ， 关 键 词 guarantees 列 出 所 有 后 置 条 件 。 关 键 
词 modifies only 说 明 在 方法 执行 过 程 中 哪些 程序 变量 可 以 改变 其 值 。 


我 们 看 看 为 什么 这 样 的 合同 会 有 用 。 假 定 你 的 老板 让 你 写 一 个 计算 {4) 的 方法 ，( 读 


作 %n 选 扩 ， 是 组 合 学 的 一 个 概念， 例如 ，1/( 6 } 是 你 从 总 共 49 个 数 中 逻 中 所 有 6 个 彩票 
号 码 的 机 会 。 你 的 老板 还 告诉 你 


(让 = 二 局 (4-16) 


成 立 。 方 法 factorial 及 其 合同 (图 4-4) 可 供 你 随意 使 用 。 应 用 式 (4-16) ， 你 可 以 很 快 算 
出 一 些 值 ， 如 2] =517(2! +31) =10, (G) =1, 以 及 (人 @) = 13983816。 然后 ， 你 写 一 个 
方法 choose, 调用 factorial WR, Hl, MAWES: 


int choose(n : int, k : int) { 
return factorial(n) / (factorial(k) * factorial (n - k)); 


} 
这 个 方法 体 仅 由 一 个 return 语句 构成 ， 它 三 次 调用 factorial 方法 ， 然 后 根据 式 (4-16) 计 
算出 结果 。 到 目前 为 止 一 切 都 好 。 但 合同 编程 不 人 与 写 程序 有 关 ， 它 还 与 写 程序 的 合同 有 
KX. choose 的 静态 信息 ， 例 如 其 名 称 ， 迅 速 填 人 合同 。 但 是 前 置 条 件 (assumes) MEE 
条 件 (guarantees ) 怎 么 办 呢 ? 

至 少 必须 叙述 前 置 条 件 ， 以 确保 在 方法 体内 的 所 有 方法 调用 都 满足 它们 的 前 置 条 件 。 在 
这 个 例子 中 ,我 们 只 调用 了 factorial， 其 前 置 条 件 为 它 的 输入 值 非 负 。 因 此 ， 要 求 n， 
k, n-k EER. AAA n RF ko 

choose 的 后 置 条 件 如 何 呢 ? 因为 方法 体 没有 声明 局 部 变量 ， 我 们 用 result 标记 这 个 


FEAL. RAMEE result 等 于 人 4] ， 假 定 对 前 置 条 件 0<h，0<n 和 sn 
而 言 ， 你 老板 的 方程 (4-16 ) 是 正确 的 。 因 此 ， 关 于 choose 的 合同 为 ， 


method name: choose 

input: n ofType int, k ofType int 
assumes: 0 <= k, 0 <=n, k <n 
guarantees: result = ‘n choose k’ 
output: ofType int 


modifies only local variables 


由 此 我 们 获悉 ， 合 同 编程 使 用 合同 : 
1. 作为 方法 的 假设 -保证 抽象 接口 ; 
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2. 说 明 方法 的 头 信息 、 输 出 类 型 、 方 法 修改 哪些 变量 (如 果 对 方法 的 调用 是 “合法 的 ") ， 以 及 对 所 有 
“合法 的 "调用 ， 输 出 应 该 满足 的 条 件 ; 
3. 能 够 如 下 证 明 方法 m 的 合同 C 的 有 效 性 ,确保 由 方法 m 体内 对 方法 的 所 有 调用 满足 这 些 方法 的 前 置 
条 件 ， 应 用 所 有 这 些 调用 满足 各 自 的 后 置 条 件 。 
因此 ,合同 编程 给 出 一 种 通过 合同 进行 程序 确认 (program validation by contract) 的 方法 。 
按照 与 本 章 非常 类 似 的 风格 证 明 替 尔 三 元 组 (|assume|) method (|guarantee|), 除了 对 
程序 体内 的 所 有 方法 调用 外 ， 我 们 可 以 假定 它们 的 霍 尔 三 元 组 是 正确 的 。 
例 4.21 在 对 图 4-3 中 计算 数组 所 有 截 段 最 小 和 的 程序 进行 验证 时 ， 已 经 使 用 了 通过 合 
同 进行 程序 确认 的 方法 。 我 们 集中 于 下 列 证 明 片 段 : 
(|Invi(min(s, min(t+a[k], a[k])), k+1)^ Inv2(min(t+a[k], a[k]), k+1)]) 


t =min(t +a[k], alk]); 蕴涵 ( 引 理 4. 20) 
(|Invi(min(s, t), k+1)^ Inv2(t, k+1) |) 赋值 

s =min(s, t); 
(|Invi(s, k+1)^ Inv2(t, k+1)]) 赋值 


最 后 一 行 用 作 通 过 赋值 s =min(s,t) 向 上 推 的 后 置 条 件 。 但 是 min(s，, 上 ) 是 一 个 方法 调 
用 ， 其 保证 规范 为 "result SF min(s, t)”, HH min(s， 晶 是 取 *，# 中 最 小 者 的 数学 
记号 。 于 是 ， 规 则 赋值 并 没有 代替 方法 调用 min(s, t) iB (O s Æ Invi(s, k+ 1)A 
Inv2(t, k + 1) 中 的 所 有 出 现 ) ， 而 是 将 所 有 这 样 的 * 变 成 方法 调用 min(s,，t) 的 保证 
min(s,t) 一 一 通过 合同 进行 程序 确认 在 起 作用 ! 类 似 的 评注 也 适用 于 赋值 t = min(t + 
a(k],a(k]). 

为 避免 循环 推理 ， 通 过 合同 进行 程序 确认 必须 明智 地 使 用 。 如 果 每 个 方法 是 一 个 图 中 的 
结 点 ， 从 方法 到 方法 m 画 一 条 边 ， 当 且 仅 当 n 的 程序 体内 有 对 方法 m 的 调用 。 为 使 通过 
合同 进行 程序 确认 成 为 合理 的 ， 我 们 要 求 这 个 方法 - 相关 图 中 不 能 有 回路 。 


4.6 习题 
练习 4. 1 


“1. 如 果 你 自己 写 过 计算 机 程序 ， 对 曾 用 过 的 每 种 编程 语言 ， 收 集 一 些 可 能 改进 程序 正确 工 
作 的 软件 开发 环境 特性 的 列表 (编译 器 、 编 辑 器 、 连 接 器 和 运行 时 间 环 境 等 ) 。 尝 试 为 每 
个 特性 的 效力 进行 分 级 。 

2. 重复 前 一 个 练习 ， 列 出 并 分 级 那些 可 能 降低 编写 正确 和 可 靠 程序 可 能 的 特性 。 


练习 4. 2 


"1. 在 什么 情况 下 if (B) {C} else |C,| 不 能 终止 ? 
“2. 我 们 的 语言 中 所 没有 的 一 条 熟知 命令 是 for 语句 。 例 如 ， 它 可 以 用 于 求 数组 元 素 的 和 ， 编 
But: 


s = 0; 
for (i = 0; i <= max; i= iti) { 
s = s+ ali]; 


该 程序 完成 初始 赋值 s = 0 后 ， 先 执行 i = 0， 然 后 执行 程序 体 s = s + a[i] 并 连续 
地 递增 i = i + 1， 直 到 i <= max 变 为 假 。 解 释 一 下 如 何 用 核心 语言 将 for (Ci; B; 
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C,) 1Cs| 定 义 为 导出 程序 。 


. 假定 需要 一 种 语言 构造 repeat {C] until(B)， 它 重复 C 直到 BEZIK., B: 


i 在 存储 的 当前 状态 下 执行 C; 

ii, 在 存储 的 结果 状态 下 计算 B; 

ii, 车 B 为 假 ， 程 序 从 (i) 重 新 开始 ; 否则 程序 repeat {C} until (B) ib. 

这 种 结构 有 时 允许 编写 出 比 用 相应 的 while 语句 更 优雅 的 代码 。 

(a) 将 repeat C until 8 定义 为 核心 语言 的 导出 表达 式 。 

(b) 是 否 可 用 经 for 语句 扩展 的 核心 语言 定义 repeat 的 每 个 表达 式 ? (可 能 需要 不 做 任 
何 操 作 的 空 命令 skip.) 


练习 4. 3 


一 


v 


oo w 


. 对 例 4.4 的 任意 状态 1， 确 定 下 纠 哪 些 关 系 上 成立， 说 明 你 的 答案 。 
“Ca)lLE(at+y<z)37(4 *y =z) 


(b)lLEWVu(u<y)V(uxz<y*z) 


"(e)l Ea ty-zex%y* 2, 


“2. 对 任意 p, PAP, RER RFE all ODP (Wl) RI, Fp (|$|)P( |y|) 就 成 立 ， 解释 


原因 。 


. 设 关系 PFl~ 1 成 立 ， 当 且 仅 当 P 在 状态 ! 下 执行 终止 ， 输 出 于 状态 !'。 使 用 形式 判断 


PFl~ 与 关系 1 二 4$ 一 起 符号 地 定义 上 Fw 和 上 par。 


将 部 分 正确 性 证 明 分 离 的 另 一 原因 在 于 某 些 程序 段 具 有 while(true) ict 的 形式 。 举 出 


在 应 用 编程 中 的 这 种 程序 段 的 有 用 例子 。 


“5. 使 用 赋值 的 证 明 规则 以 及 适当 的 逻辑 蕴涵 证 明 下 列 公式 的 有 效 性 : 


(a)Fpar( {xz >01)y=x+1(|y>1|) 
(b)Fpe( | T])y =a; yaxtaty(|y=3 +21) 
(c)Fol lx>1|)a=1; y=x; y=y-a(|y>0rx>y¥|). 


“6. 写 一 个 程序 P， 使 得 


(a)( | T])PCly=x+2]) 
(b)(1TI)P(lz>x+y+4|)。 
在 部 分 正确 性 下 成 立 。 然 后 证 明 的 确 如 此 。 


. 对 4.3.2 节 的 证 明 中 列 洒 的 所 有 实例 ， 说 明 其 相应 的 矢 列 FAn。 
.有 一 种 安全 的 方法 能 将 赋值 的 证 明 规则 形式 放宽 : 只 要 EE 中 出 现 的 变量 在 断言 y[E/x] 和 


赋值 x = 之 间 没 有 被 更 新 ， 就 可 以 在 该 赋值 的 后 面 得 到 结论 y。 解 释 为 什么 这 样 的 证 明 
规则 是 合理 的 。 


. (a) 通 过 举例 证 明 ， 列 涵 规 则 的 “ 反 向 "版本; 


FA 由 一 和 (lp)CCyl) Fap’ > 


Ce’ Dee D D 2 





对 于 部 分 正确 性 不 是 合理 的 。 
(b) 解 释 为 什么 式 (4-7) 中 修改 的 让 语句 规则 关于 部 分 以 及 完全 满足 关系 都 是 合理 的 。 


`(c) 证 明 : 在 一 个 证 明 中 修改 的 放 语 句 规则 的 任何 实例 都 可 以 被 原始 站 语句 的 一 个 实例 和 


荀 涵 规则 的 实例 代替 。 其 逆 也 是 真 的 吗 ? 
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“10. ERRI] (| | )P(|z=min(x,y) |) MARE, HP min(x, y) dex A y 的 最 小 数 。 
例如 ，min(7, 3) =3, P 的 代码 如 下 : 
if (x > y) { 

zy; 
} else { 
; 

11. 对 下 列 每 个 规范 ， 写 出 P 的 代码 ， 并 证 明 规 范 化 的 输入 /输出 行为 的 部 分 正确 性 : 
“(a)(|T|)P(jz=max(w, x, y|), 其 中 max(w，x，,y) 表 示 w, x My 中 的 最 大 数 。 
*(b) (| TI) PC] (Ce =5) (yy #3) AC (x =3) (y= -1))|)。 

12. 不 使 用 修改 过 的 if TERA UM, ERRI ( | T | )succ( |y=%+1|) 的 有 效 性 。 

“13. TEA pal |x >0|)Copyl( |x =y|) BAH, Ab Copy] 表示 如 下 的 代码 : 


a= X; 

y= 95 

while (a != 0) { 
yryt*ds 


, azar i; 


} 
“14. 证 明 Fpw( | yO | )Muitil( |z=x*y|) 是 有 效 的 ， 其 中 Multil 为 ， 
a= 0; 
z= 0; 
while (a != y) { 


Z=Z+xX; 
az=ati; 


} 
15. 证 明 Hue(jy=y^yz>0l)Multi2(|z=x -yo|) 是 有 效 的 ， 其 中 Multi2 为 : 


z= 0; 


while (y != 0) { 
ze=2z2tx 
y=y-1 


16. 证 明 FFpa( |x20|)Copy2(|x=y|) BARA, HH Copy2 X: 
Wie ty != x) { 
yey hs 
} 
17. 假定 程序 Div 计算 整数 x 被 y 除 后 的 被 除数 ， 这 定义 成 唯一 整数 4， 使 得 存在 整数 (A 
数 ) 满 足 r<y 及 *x=d.y+re AM, Ax=15, y=6, Wd=2, AW15=2-64+3, 其 中 


r=3<6。 设 Div 由 下 列 代 码 给 出 : 


r= Xi 

d = 0; 

while (r >= y) { 
r=r-y; 
d=d+1; 

} 


WEAF par | (y =0) |) Div( |(x=d-y4r)a(r<y) |) 是 有 效 的 。 
“18. 证 明 上 pe( |x 宇 0|)Downfac( |y=x!|) 是 有 效 的 9 ， 其 中 Downfac 是 : 





O ”你 可 能 必须 加 强 不 变量 。 
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tre 
while (a > 0) { 
yry* a; 
a=a- 1; 
} 
19. ETWA- al | 下 | )Copy1(|x=y|) 的 有 效 性 ， 为 什么 ? 
20. 设 P 中 的 所 有 while 语句 while(B) {Cc} 在 程序 体 的 结尾 处 用 候选 不 变量 yn 注释 ， 在 
程序 体 的 开始 处 用 n A B 注释 。 
(a) 解 释 Fpo( | 四 |)P( | 风 |) 的 证 明 如 何 自动 归结 为 证 明 某 个 -Fay Aa pn 的 有 效 性 。 
(b) 对 例 4. 17 中 的 证 明 ， 识别 这 样 一 个 矢 列 F ary, AA pro 
21. 给 定 n=5， 对 以 下 数组 验证 Min_ sum 的 正确 性 : 
*(a)[ -3, 1, -2, 1, -8] 
(b)[1, 45, -1, 23, -1] 
“(c)[ -1, -2, -3, -4, 1097], 
22. 47E Min_ Sum 的 while 语句 中 交换 第 一 个 与 第 二 个 赋值 ， 使 得 先 赋值 给 s， 然 后 赋值 
给 t， 该 程序 还 正确 吗 ? 给 出 你 的 回答 理由 。 
"23. 证 明 关 于 Min_ Sum 的 S2 的 部 分 正确 性 。 
24. 程序 Min_ Sum 并 没有 揭示 在 哪里 可 以 找到 输入 数组 的 最 小 和 截 段 。 修 改 Min_ Sum 使 
之 能 完成 这 个 任务 。 你 能 只 遍历 数组 一 次 就 做 到 这 一 点 吗 ? 
25. 考虑 霍 尔 三 元 组 的 证 明 规则 
CJpDE Cyl) Cao Dey, |) 
CDEC yp, Apl) 
(a) 证 明 这 个 证 明 规 则 关于 Fpwm 是 合理 的 。 
(b) ea 4. 3. 1 节 的 规则 导出 这 个 证 明 规则 。 
(c) 解 释 如 何 使 用 这 个 规则 (或 其 导出 形式 ) 确 立 Min_ sun 的 全 部 正确 性 。 
26. 最 大 和 问题 是 计算 数组 所 有 截 段 的 最 大 和 。 
(a) 修 改 4.3.3 节 的 程序 ， 使 之 能 计算 这 些 截 段 的 最 大 和 。 
(b) 证 明 修改 后 程序 的 部 分 正确 性 。 
(c) 图 4-3 中 给 出 的 正确 性 证 明 的 哪些 方面 可 以 “ 复 用 ”? 


练习 4.4 


. 证 明 下 列 完全 正确 矢 列 的 有 效 性 : 
"(a)Hu(|xz0l)copyl(ly=yl|) 
“(b)Hu( |y20])Multil(|z=x-y|) 
(c) Fi | (y =y) ^(y=0) |)Multi2(|z=x* yl) 
*(d)F ial |x>=0|)Downfac( |y=x!1|) 
“(e)Fw(|x 宇 0|)Copy2(|(x=y|)， 你 的 不 变量 在 保证 正确 性 方面 是 否 有 现成 的 
部 分 ? 
(Fa ly=0) |)Div(|(w=d-y4r)a(r<y) |). 
. 证 明 关于 Min_ Sum 的 S1 和 S2 的 完全 正确 性 。 
.证明 FFpw 关 于 上 pw: 是 合理 的 。 如 1.4.3 节 ， 只 要 假设 证 明 规 则 的 前 提 是 上 bw 的 实例 就 够 了 。 
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然后 ， 需 要 证 明 它们 各 自 的 结论 必须 也 是 Fp 的 实例 。 

4. 证 明 Hw 关 于 Fw 是 合理 的 。 

5. 用 你 选择 的 编程 语言 实现 程序 collatz， 使 x 的 值 是 程序 输入 ，c 的 最 终 值 为 输出 。 对 
一 定 范围 的 输入 测试 你 的 程序 。 在 不 致 引 起 例外 或 放弃 核心 任务 的 前 提 下 ， 使 程序 终止 
的 最 大 整数 是 什么 ? 

6. 整数 集 上 的 函数 /: > 了 是 仿 射 的 ， 当 且 仅 当 存 在 整数 a, b, HRA xel, f(x) =a-+x +b, 
程序 Collatz 的 else 分 支 将 c 赋 以 值 /(c)， 其 中 /是 满足 a =3， 5 =1 的 仿 射 函数 。 

(a) 写 出 Collatz 的 参数 化 实现 ， 开 始 可 以 静态 地 指定 或 者 通过 键盘 输入 a 和。 的 值 ， 
使 得 else 分 支 使 < 赋值 f(c)。 

(b) 确 定 对 哪些 数 对 (a, 5)e Tx, 集合 Pos jxe 110 <x} EHH BM f(x) = 
a+:x+b PREAH: 对 所 有 xe Pos, f(x) e Pos, 

“(c) 找 出 一 个 仿 射 函数 ， 它 保持 Pos 不 变 ， 但 对 集合 0dd {fae II 3ye N: x=2- 74 
十 则 不 然 ， 使 得 存在 一 个 取 自 Pos 的 输入 ， 对 此 输入 执行 修改 后 的 Collatz 程序 最 
终 进 和 人 循环， 因此 不 终止。 


练习 4. 5 


1. JBM boolean certify_ V(c: Certificate) MAIR true, YAM4iEB c 被 
验证 器 V 判断 为 有 效 ， 方 法 certify_V 在 类 V 中 。 
“(a 讨论 合同 编程 如 何 用 于 代表 另 一 个 验证 器 对 证 书 的 判断 。 
“(b) 若 结果 方法 的 相关 图 是 循环 的 ,那么 从 上 下 文中 你 能 看 出 什么 潜在 的 问题 吗 ? 

“2. 考虑 名 为 withdraw 的 方法 : 


boolean withdraw(amount: int) { 
if (amount < 0 && isGood(amount)) 
{ balance = balance - amount; 
return true; 
} else { return false; } 


} 

它 试 图 从 方法 withdraw 所 在 的 类 的 整数 字段 balance 中 提取 出 amount 。 该 方法 使 用 
了 另 一 个 方法 isGooa， 它 返回 true 4 H4924 balance 的 值 大 于 或 等 于 amount 的 值 。 
(a) 为 方法 isGood 写 一 个 合同 。 

(b) 使 用 这 个 合同 证 明 withdraw 的 下 列 合 同 的 有 效 性 : 


method name: withdraw 

input: amount of Type int 
assumes: 0 <= balance 
guarantees: 0 <= balance 
output: of Type boolean 
modifies only: balance 


注意 这 个 合同 的 前 置 和 后 置 条 件 是 相同 的 ， 并 参考 方法 对 象 的 一 个 字段 。 在 有 效 的 基础 
上 ， 该 合同 确立 了 对 withdraw 的 所 有 调用 保持 (“对 象 不 变量 ”)0 <= balance 不 变 。 


4.7 文献 注释 


关于 命令 式 while 语言 所 写 的 程序 的 部 分 及 完全 正确 性 的 程序 逻辑 的 一 个 早期 说 明 可 在 
[ Hoa69 ] 中 找到 。 教 材 [Dij76] 含 有 对 最 弱 前 置 条 件 的 形式 处 理 。Backhouse 的 书 [ Bac86] 描 
述 了 程序 逻辑 和 最 弱 前 置 条 件 ， 并 包含 大 量 的 例子 和 练习 。 比 本 章 更 加 完备 地 阐述 程序 验证 
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的 其 他 书籍 有 [ A091，Fra92 ] 。 这 些 书 还 扩展 了 基本 核心 语言 ， 包 括 诸如 过 程 及 并 行 等 特 
征 。 写 入 数组 问题 和 数组 单元 别名 问题 在 [ Fra92 ] 中 有 描述 。 描 述 最 小 和 片段 问题 的 原始 论 
文 是 [ Gri82 ] 。[ Tur91] 适 当地 介绍 了 函数 式 编程 的 数学 基础 。 某 些 网 站 处 理 了 软件 责任 以 及 
适用 于 计算 机 程序 的 知识 产权 的 可 能 标准 ” 。 教 科 书 [ Ten91，Seh94] 讨 论 了 通过 对 本 章 开始 
提出 的 核心 语言 的 一 致 扩张 进行 系统 编程 语言 设计 的 问题 。[ Pau91] 是 关于 可 免费 获得 的 新 
泽 西 标准 ML 语言 的 一 部 教科 书 。 
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第 5 章 ” 模 态 逻 辑 与 代理 


5.1 真 值 的 模式 


在 命题 逻辑 或 谓词 逻辑 中 ， 任 何 模型 的 公式 不 是 真 就 是 假 。 命 题 逻 辑 和 谓词 逻辑 不 允许 
其 他 可 能 性 。 然 而 ， 从 很 多 观点 看 ， 这 是 不 适当 的 。 例 如 ， 在 自然 语言 中 ， 我 们 经 常 区 分 不 
同 的 真 值 < 模式 ”， 诸 如 必然 为 真 ， 知 道 为 真 ， 相 信 为 真 以 及 将 来 为 真 。 例 如 ， 考 虑 下 面 的 
句子 : 

乔治 W- 布什 是 美国 总 统 。 
尽管 当前 是 真 的 ， 但 在 将 来 的 某 一 时 刻 将 不 是 真 的 。 同 样 ， 句 子 
太阳 系 有 九 大 行星 。 
是 真 的 ， 或 许 在 未 来 永远 为 真 ， 但 就 行星 的 数目 而 言 ， 却 不 一 定 是 真 的 。 然 而 ， 句 子 

| 27 的 立方 根 是 3。 

不 但 是 真 的 ， 也 必然 是 真 的 ， 而 且 将 来 也 是 真 的 。 然 而 ， 它 并 不 具有 全 部 真 值 模式 。 某 些 人 
(例如 小 孩 ) 可 能 并 不 知道 它 是 真 的 ， 也 可 能 有 些 人 (如 果 他 们 和 弄 错 了 ) 不 相信 其 为 真 。 

在 计算 机 科学 中 ， 对 真 值 模式 的 推理 经 常 是 很 有 用 的 。 在 第 3 章 中 ， 我们 研究 了 CTL 
逻辑 ， 这 种 逻辑 不 仅 能 识别 未 来 不 同 点 上 的 真 值 ， 还 能 区 分 不 同 未 来 的 真 值 。 于 是 ， 时 态 远 
辑 是 模 态 逻辑 的 一 个 特例 。CTL 的 模 态 词 允许 我 们 表达 大 量 的 系统 计算 行为 。 模 态 对 于 计算 
机 科学 其 他 领域 中 的 建 模 也 是 极其 有 用 的 。 例 如 在 人 工 智 能 中 ， 发 展 了 有 若干 相互 作用 代理 
的 情境 。 每 个 代理 可 能 有 关于 环境 的 不 同 知识 以 及 关于 其 他 代理 的 知识 。 在 本 章 中 ， 我们 将 
深入 考察 用 于 知识 推理 的 模 态 逻辑 。 

为 表达 这 些 不 同 真 值 模式 中 的 一 种 或 几 种 ， 模 态 逻 辑 增加 了 一 元 连接 词 。 最 简单 的 模 态 
逻辑 只 处 理 单个 概念 一 一 比如 知识 、 必 然 或 时 间 。 更 复杂 的 模 态 远 辑 则 具有 用 来 表达 同样 的 
逻辑 中 几 种 真 值 模式 的 连接 词 ; 在 本 章 的 最 后 部 分 ， 我 们 将 会 看 到 其 中 的 几 种 。 

本 章 中 ,采取 逻辑 工程 (logic engineering) 的 方法 提出 下 列 问题 ; 给 定 一 种 特殊 的 真 值 模 
式 ， 如 何 开发 一 种 能 表达 并 形式 化 其 概念 的 逻辑 ?为 回答 这 个 问题 ， 需 要 确定 肥 辑 应 该 具有 什 
么 性 质 以 及 它 应 该 能 够 表达 什么 样 的 推理 实例 。 我 们 研究 的 主要 案例 是 多 代理 系统 中 知识 
(knowledge in a multi-agent system) 的 逻辑 。 不 过 首先 ， 我 们 考虑 基本 模 态 逻 辑 的 语法 和 语义 。 


5.2 基本 模 态 逻辑 
5.2.1 语法 


基本 模 态 逻辑 的 语言 是 带 有 两 个 额外 连接 词 口 和 的 命题 逻辑 语言 。 像 否定 (一 ) 一 样 ， 它 
们 是 一 元 连接 词 ， 只 用 于 单个 公式 。 同 第 1 章 和 第 3 章 ， 用 p，g，,r，p，，… 来 表示 原子 公式 。 
定义 5. 1 基本 模 态 逻辑 公式 p 由 下 列 Backus Naur 范式 (BNF) 定义， 
b= Tip (~$)1 (6%)! (oY $6)! (64) | (66) 1 (Ob) 1 (Ob) (5-1) 
其 中 p 是 任意 原子 公式 。 
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(p^ (P >On r) AMO (Ogq ^ 站 一口 D) 是 基本 模 态 公式 的 例子 ， 其 语法 分 析 树 如 
图 5-1 所 示 。 下 列 字 符 串 不 是 公式 ， 因 为 不 能 用 式 (5-1) 的 语法 构造 出 (P 口 一 9) 和 (P 一 
OlgOr))o 

约定 5.2 与 第 1 章 相 同 ,假定 一 元 连接 词 ( 一 、 口 和 人 ) 的 绑 定 优先 级 最 高 ， 其 次 是 ^ 
和 v ,然后 是 一 和 *>。 

这 个 约定 允许 去 掉 很 多 组 括号 ， 只 是 为 避免 含混 不 清 或 者 忽略 这 些 优先 级 时 才 保 留 它 
们 。 例 如 口 (( Ogar 一口 p) 可 写成 口 ( Og ^ 一 r> 口 p)。 然 而 ,我 们 不 能 再 省 略 剩 下 的 括 
号 ， 因 为 口 29 4-1 一 口 p 有 一 棵 与 图 5-1 截然 不 同 的 语法 分 析 树 ( 见 图 5-2)。 





© 
© 
Q © 
© © 
(a) Q 
图 5-1 (PAO (ps1) MIO (0g A>) >O p) MEET 
(+) 
(A) © 
© © O 
O © 


图 5-2 ODOOg A^ 盖 一 口 p 的 语法 分 析 树 
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在 基本 模 态 逻辑 中 , OMORE RIB” (box) 和 “菱形 ”(diamond) ， 当 用 模 态 多 辑 表达 
不 同 的 真 值 模式 时 ， 可 以 更 恰当 地 称呼 它们 。 例 如 ， 在 研究 必然 性 和 可 能 性 的 逻辑 中 ， 口 读 
WE DRR”, ORERE”; 在 代理 Q 的 知识 逻辑 中 ， 口 读 作 “代理 Q A”, OME“ SH 
理 @ 的 知识 相 一 致 "， 或 更 口语 化 地 读 作 “对 Q 所 知道 的 所 有 知识 ”。 我 们 将 在 本 章 的 后 面部 
分 看 到 这 些 读 法 为 什么 是 恰当 的 。 


5.2.2 语义 


对 于 命题 逻辑 公式 而 言 ， 一 个 模型 不 过 是 对 出 现在 该 公式 中 的 每 个 原子 命题 赋 真 值 一 
在 第 一 章 中 ， 称 这 样 的 模型 为 赋值 。 然 而 ， 模 型 的 这 个 概念 对 于 模 态 逻辑 是 不 充分 的 ， 因 为 
要 区 分 真 值 的 不 同 模式 或 程度 。 

定义 5.3 基本 模 态 逻辑 的 一 个 模型 M 由 三 项 内 容 确 定 : 

1. 一 个 集合 币 ， 它 的 元 素 称 为 世界 ; 

2. 一 个 厂 上 的 关系 及 (RS 多 x 了 到) ， 称 为 可 达 关 系 ; 

3. TP RRL: W+P(atoms), HA MPIR MRK, 

我 们 用 R(x, VERG, y) 在 RR 中 。 

这 些 模 型 经 常 称 为 Kripke 模型 (Kripke models) ， 这 是 为 了 纪念 S. Kripke 发 明了 这 些 模 
型 并 且 在 20 世纪 50 年 代 和 60 年 代 在 模 态 逻辑 方面 做 了 大 量 工作 。 直 观 上 讲 ，w e W RHE 
种 可 能 的 世界 ， 而 R(w，w') 意 味 着 世界 w TAER w 到达。 这 个 关系 的 实际 特性 依赖 于 想 
要 建 模 的 事物 。 尽 管 模型 的 定义 看 起 来 相当 复杂 ， 但 可 以 用 简单 的 图 形 记号 描绘 有 限 模 型 。 
我 们 用 一 个 例子 说 明 这 种 图 形 记 号 。 假 设 WEF I x,, x, 5, x, %, %}, HBR BM 
WTF: 

< R(x, x3), R(x,, x3), R(x, x), R(x,, x3), R(xs, x,), R(x,, x5), R(xs, %,4), 
R(xs，x6)， 且 没有 其 他 对 通过 R 相关 。 

进而 假设 标识 函数 作用 如 下 : 






{p} 


那么 ， 这 个 Kripke 模型 可 用 图 5-3 说 明 。 集 合 政 用 一 组 圆圈 画 出 ， 圆 圈 之 间 的 箭头 显示 了 
关系 只。 每 个 圆 图 内 部 写 有 标识 函数 关于 该 世界 的 值 。 如 果 你 已 经 读 过 第 3 章 ， 那 么 你 可 能 
已 经 注意 到 Kripke 模型 结构 也 是 CTL 模型 ，W 是 S( 状 态 集合 ); R 是 一 (状态 迁移 关系 ) 
而 工 是 标识 函数 。 
定义 5.4 设 M = (WR, 工 ) 是 基本 模 态 逻 辑 的 一 个 模型 。 假 设 xe VW Ad BMR(5-1) 

的 一 个 公式 。 我 们 将 定义 在 世界 «H, ARo 何 时 为 真 。 通 过 对 由 结构 归纳 ， 定 义 满足 关系 
x 小 四 来 完成 这 个 定义 : 

x 小 下 

x WEL 

slp HANK p e L(x) 

xila p EHR Ś xko 

xl OA 4AR4 xl p Hx y 

slk oyy KERK xl p, RH x lb y 
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vik dow 4AR4 REAR xl p, WA xi y 
x 上 poy 4 AAR 24 (x It p 4 ALY xI y) 
stop SARRAIE R, y) 的 每 个 y e WA yi y 
xl- Ow 当 且 仅 当 存在 y e W, 使 得 R(x,y) Hy lky 
当 x o RER, RIA WE p”, Rd 在 世界 x 中 为 真 "”。 如 果 想 强调 x | $ 在 模型 M 
HRZ, MBM, xl po 
前 两 个 句子 不 过 表示 了 工 总 是 真 、 而 上 总 是 假 这 个 事实 。 其 次 ， 我 们 看 L(x) 是 在 x 为 
真 的 全 体 原 子 公 式 的 集合 。 关 于 布尔 连接 词 (-，^，v， 一 和 心 ) 的 句子 也 应 是 直接 的 : 它 
们 意味 着 在 当前 世界 x 中 应 用 这 些 连 接 词 通 常 的 真 值 表 语义 。 感 兴趣 的 情形 是 关于 口 和 的 
句子 。 为 使 口 由 在 * 为 真 ， 要 求 在 由 x* 通过 尺 可 达 的 所 有 世界 中 ， 为 真 。 对 Cd 来 说 ， 要 
求 至 少 存在 一 个 由， 在 其 中 为 真 的 可 达 世 界 。 因 此 ， 口 和 @ 有 点 像 户 词 逻辑 中 的 量词 V 和 
3 ， 只 是 不 以 变量 作为 参量 。 这 个 事实 使 得 它们 在 概念 上 比 量词 简单 得 多 。 模 态 算 子 口 和 人 
也 很 像 CTL 中 的 AX 和 EX， 见 3.4.1 节 。 注意 由 < 由 的 含义 与 (由 一 由 ) ^( 由 一 由 ) 的 含义 
是 一 致 的 ， 称 为 “ 当 且 仅 当 ”。 
定义 5. 5 ”如果 该 模型 中 的 每 个 世界 都 满足 该 公式 ， 称 基本 模 态 逻辑 的 模型 M = (更 ，RR， 
ZL) 满足 一 个 公式 。 于 是 ， 写 MF 6 当 且 仅 当 对 每 个 xeW， x lk oo 











例 5.6 考虑 图 5-3 中 的 Kripke 模型 。 我 们 有 : @ x2 
exlkq, HAqeL(s,), 
。 x 由 gq， 因 为 有 一 个 了 从 x 可 达 的 世界 ( 即 x,) 满 足 ¢. ABE A] 
记号 : R(x,, m), Hæ leas KO (P)» >) 
e Rit, x KOq. REAW«, HO q 是 说 从 x, 可 达 的 所 有 世界 s 
CEP x, 和 xs ) 都 满足 q; 但 x, 不 满足 g。 Gy Ox, 
ex, KOp Ah x, KO gq. 此外，zxs KO p VO qg. Rift, x IH 
Olp V aq), 图 5-3 一 个 Kripke 模型 


:为 看 到 这 些 事实 ， 注意 由 xs 可 达 的 世界 是 x, Maxo AX r, Kp, 

RA x, Op; RAW x kq, RNA x, 米 口 9。 因此， 得 到 xs # 口 pvY 口 9。 然而, xs HOC v 9) 
RL, BAE x, 和 xs 中 的 任何 一 个 ,我 们 都 能 找到 p 或 gq。 

满足 口 pop 的 世界 是 x, ，zx，，xs，%s 和 x。; Mx, x 和 xc， 因为 它们 已 经 满足 p， 也 如 此 ; 对 于 
x4， 上 述 事实 为 真 ， 因 为 它 不 满足 口 p。 有 R(x,，x;) ， 而 x 不 满足 pi 类 似 的 推理 也 适用 于 x;。 至 
于 x,， 它 不 能 满足 口 pp， 因 为 它 满足 口 p»， 但 不 满足 p 本 身 。 

在 模 态 逻辑 中 ， 像 xs 那样 的 世界 值得 我 们 特别 关注 : 从 它 出 发 没有 可 达 的 世界 。 注 意 
到 无 论 EFA, BWA xse 卡 Ch， 因 为 C 由 说 的 是 :“ 有 一 个 满足 由 的 可 达 世 界 ”。 特别 地 ， 
“有 一 个 可 达 世 界 ”， 而 在 xs BRA. MEN p 是 T 时 , 仍 有 xs 类 OT。 因此 ， 尽管 每 
个 世界 均 满足 T， 但 却 未 必 满 足 OT。 事 实 上 ， ce HOT 成 立 ， 当 且 仅 当 x 至 少 有 一 个 可 达 
世界 。 

在 没有 可 达 世 界 的 世界 中 ， 对 于 口 $ 的 满足 存在 一 种 对 偶 情 况 。 无 论 $ 是 什么 ， 我们 
ER xs Op ÄR ARAN x HO 中 说 的 是 在 所 有 从 x. 可 达 的 世界 中 6 HA, RAR 
样 的 世界 ， 故 $ 在 所 有 这 样 的 世界 中 也 就 平凡 地 为 真 ; 只 不 过 是 因为 没有 什么 需要 验证 的 。 
“对 所 有 可 达 世 界 " 这 种 解释 可 能 令 人 惊讶 ， 但 它 确 保 了 以 下 所 说 的 关于 矩形 和 菱形 模 态 词 
的 德 . 摩根 定律 成 立 。 甚 至 口上 在 xs 也 为 真 。 如 果 你 想 使 某 人 确信 口上 在 x 不 真 ， 你 必须 
证 明 存 在 一 个 从 xs 可 达 的 世界 ， 在 那个 世界 中 上 不 真 。 但 你 做 不 到 ， 因 为 从 xs RA A AH 
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界 。 因 此 ， 尽 管 在 每 个 世界 中 上 都 是 假 的 ,口上 却 可 能 非 假 。 事 实 上 ，x 止 口 上 成 立 ， 当 且 
仅 当 * 没有 可 达 世 界 。 

公式 与 公式 模式 wees (5-1) 中 的 语法 精确 地 规定 了 基本 模 态 逻辑 的 公 
A. Aw, Oop 是 这 样 的 一 个 公式 。 有 时 ， 谈 论 有 相同 “形状 "的 整个 公式 族 是 有 用 的 ， 
此 处 称 为 公式 模式 (formula schemes). 例如 ，$ 一 口 Og 是 一 个 公式 模式 。 任 何 具 有 某 个 特 
定 公 式 模式 的 形状 的 公式 称 为 该 模式 的 一 个 实例 。 例 如 ， 

© p—Dop 

e g Dog 

© (pag) OO (prdq) 
都 是 模式 6-006 的 实例 。 命 题 逻辑 的 公式 模式 的 一 个 例子 是 ^p 我 们 可 以 把 公式 
模式 看 成 一 棵 待 规 定 的 语法 分 析 树 ， 该 树 的 一 些 特定 部 分 仍然 需要 提供 。 例 如 ， 图 5-4 中 可 
找到 一 口 C 由 的 树 。 

从 语义 上 看 ， 一 个 模式 可 以 视 为 其 所 有 实例 的 合 取 ， O 
因为 一 般 有 无 限 多 个 这 样 的 实例 ， 在 语法 上 是 无 法 实现 的 。 
我 们 说 一 个 世界 /模型 满足 一 个 模式 ， 如 果 它 满足 其 所 有 实 


例 。 注 意 ， 在 Kripke 模型 中 ,满足 实例 并 不 蕴涵 整个 模式 /全 D 
都 满足 。 例如， 可 以 有 一 个 Kripke 模型 ， 其 中 的 所 有 世界 
均 满足 -pv g,， 但 至 少 有 一 个 世界 不 满足 -2g v p。 因 此 ， 
该 模型 不 满足 模式 下 © 
模 态 公式 之 间 的 等 价 
定义 5.7 人 A\ 


1. 我 们 说 基本 模 态 逻 辑 的 一 个 公式 集 T 语 义 地 导出 基本 模 态 逻 
BAX y， 如 果 对 任何 模型 M =(W, R, LL) 中 的 任何 世界 x， 只 要 对 ”图 5-4 公式 模式 $ 一 口 04 的 
FA per HRE x IH >, RA xl- po ERA PE, RINAT EY 语法 分 析 树 
成 立 。 
2. 我 们 说 $ 和 是 语义 等 价 的 ， ME OEY MVE bd Re. 我 们 将 语义 等 价 记 为 由 = 水。 
注意 ，$= 少 成 立 ， 当 且 仅 当 任何 模型 中 的 任何 世界 ， 只 要 满足 其 中 一 个 就 满足 另 一 
与 命题 逻辑 对 应 的 情况 相仿 ， 语 义 等 价 的 定义 基于 语义 推导 。 然 而 ， Aw RNR 9H 
础 概念 是 相当 不 同 的 ， 如 我 们 将 很 快 看 到 的 。 
命题 逻辑 中 的 任何 等 价 也 是 模 态 逻 辑 中 的 等 价 。 事 实 上 ， 如 果 我 们 取 命题 逻辑 中 的 任何 
等 价 ， 并 将 原子 一 致 地 代 换 成 任意 模 态 逻辑 公式 ， 结 果 还 是 模 态 逻辑 中 的 等 价 。 例 如 ， 取 等 
价 的 公式 p 一 9 和-(p^9)， 现 在 实施 代 换 
p> OUpa(q-p) 
q= re> © (¢ v p) 
这 个 替换 的 结果 是 一 对 公式 
OprA(q>p) > 7(r> O(qvp)) 
“(C(O pA(q-p)) (r+ Slay p))) (5-2) 
它们 作为 基本 模 态 逻辑 的 公式 是 等 价 的 。 
我 们 已 经 注意 到 口 是 关 于 可 达 世 界 的 全 称 量词 ， 而 人 是 相应 的 存在 量词 。 鉴于 这 些 事 
， 发 现 德 . 摩根 定律 也 适用 于 口 和 也 就 不 足 为 奇 了 : 
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“-Od=0 79H Op = 0> ¢ 
此 外 ， 口 关于 ^ 满 足 分 配 律 ，@ 关 于 v 满 足 分 配 律 : | 
Olp^ryp) = O0Op^OyYH Olpyy) = CGV OY 
这 些 等 价 密切 对 应 于 2. 3. 2 节 中 讨论 的 量词 等 价 。 发 现下 述 结论 也 毫 不 奇怪 : 口 关于 v 不 是 
分 配 的 、O 关 于 人 ^ 不 是 分 配 的 ， 即 在 口 ($v Pe) SO GVOYSA, RO(HAP)FOHACY 
之 间 没 有 等 价 。 例 如 ， 在 例 5.6 的 第 4 项 中 ， 有 xs ItKO(pvg)Ms,KOpvOg. 
注意 ， 如 前 面 已 经 看 到 的 ， 口 T 等 价 于 TT， 但 不 等 价 于 OT。 类 似 地 ，O 上 = 上， 但 它 
们 不 等 价 于 口上 。 
另 一 个 等 价 是 OT= 口 p 一 Op。 假定 x*lH OT， 即 x 有 一 个 可 达 世 界 比如 说 y， 并 假设 
x 上 上 口 p, 则 y1lFp， 所 以 x Fp。 反之 ,假定 x 目 口 p 一 Sp， 必须 证 明 它 满足 CT。 我 们 来 区 
分 + 目 口 p 和 x 北口 p 的 情形 。 对 前 一 种 情况 ， 由 >* lHKOpoOp 得 到 * 卜 CCp， 因 此 * 一定 有 
可 达 的 世界 ; 对 后 一 种 情况 ， 为 了 避免 满足 口 Pp，x 也 一 定 有 可 达 世 界 。 不 管 哪 种 情况 ，x 都 
有 可 达 世 界 ， 即 x 满足 COT。 自然 ， 这 一 论证 对 任何 公式 由 都 有 效 ， 而 不 仅 是 对 原子 po 
有 效 公式 
定义 5.8 基本 模 态 逻辑 的 公式 4 称 为 有 效 ， 如 果 它 在 任何 模型 的 任何 世界 中 都 为 真 ， 
即 当 且 仅 当 F 由 成 立 。 
任何 命题 重 言 式 是 有 效 公 式 ， 因 此 它 的 任何 代 换 实例 也 是 有 效 公 式 。 一 个 公式 的 代 换 
实例 就 是 将 该 公式 中 的 原子 ( 像 式 (5-2) 那 样 ) 统 一 地 代 换 为 其 他 公式 所 得 到 的 结果 。 例 
如 ， 因 为 PvP 是 一 个 重 言 式 ， 实 施 代 换 pr* 口 pp ^(9 一 p) 给 出 有 效 公式 ( 口 p^(g 一 p) ) v 
一 ( 口 P^(9 一 p) ) 。 
如 上 述 等 价 所 期 待 的 ， 下 面 这 些 公 式 是 有 效 的 ， 
=D geo 76 
O(orpy)eOor0y (5-3) 
O(PV POOPY Oy 
为 证 明 第 一 个 公式 是 有 效 的 ， 做 如 下 推理 。 假 设 x 是 模型 M =(W, R, L) 中 的 一 个 世 
Fo UH «lK-OdeO 7d, Mx lt-O gp 4¥AC4«clb-Ord MAEM 5.4， 
X 小 一口 四 
当 且 仅 当 * | 口上 不 成 立 
当 且 仅 当 对 满足 R(x，y) 的 所 有 y，y It 由 不 成 立 
当 且 仅 当 存在 某 个 满足 R(x,，y) 的 y,， 不 满足 yl 中 
当 且 仅 当 存在 某 个 满足 R(x, y) 的 y, Hylke 
HHAH xlo. 
另外 两 个 公式 的 有 效 性 也 是 类 似 的 例 行 证 明 ， 故 留 作 练 习 。 
另 一 个 可 看 作 有 效 的 重要 公式 如 下 : 
Dg—y) Dp— Oy 
有 时 这 个 公式 写成 不 太 直 观 的 等 价 形式 口 ( dy) (Od Og). 
在 大 多 数 关于 模 态 逻辑 的 书 中 ， 这 个 公式 模式 称 为 K， 以 纪念 逻辑 
学 家 S. Kripke， 前 面 我 们 已 经 提 到 ， 他 发 明了 定义 5.4 中 所 谓 的 
“可 能 世界 语义 ”。( 参 见 图 5-5) 





图 5-5 另 一 个 Kripke 模型 
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为 看 出 人 是 有 效 的 ， 再 次 假设 有 模型 M = (WW，R, 工 ) 中 的 某 个 世界 *。 我 们 需要 证 明 
cItHO(d—-~) AD $ 一 口 Wy。 仍 然 参 考 定义 5.4， WE xOy) p, ARER x IHO g: 
«IFO(¢>¥) 40 由 
当 且 仅 当 * 由 口 (一 少 ) Ax lkKO od 
当 且 仅 当 对 所 有 满足 R(x, y) 的 y， 有 YlH- oop My lt p 蕴涵 对 所 有 满足 R(x，y) 
Wy, 有 yi 
HHAH viO yo | 
在 基本 模 态 逻辑 中 ， 再 没有 其 他 有 趣 的 有 效 公 式 了 。 稍 后 ， 我 们 将 在 扩展 的 模 态 逻辑 中 看 到 
另外 一 些 有 趣 的 有 效 公 式 。 


5.3 BIEB 


考察 了 基本 模 态 逻辑 的 框架 后 ， 现 在 我 们 转向 本 章 ， 开 始 讨 论 如 何 将 真 值 的 不 同 模式 形 
式 化 的 问题 。 基 本 框架 是 相当 概括 的 ， 可 以 按 各 种 方式 加 以 细 化 ， 以 得 到 适合 期 望 的 应 用 的 
属性 。 逻 辑 工程 就 是 将 工程 逻辑 适合 新 应 用 的 学 科 。 它 是 潜在 的 、 非 常 广泛 的 学 科 ， 涉 及 逻 
辑 、 计 算 机 科学 和 数学 的 所 有 分 支 。 然 而 ， 在 本 章 仅 限 于 特殊 的 模 态 逻辑 工程 。 
我 们 将 考虑 如 何 重 塑 ( re-engineer) 基 本 模 态 逻辑 ， 以 适合 口 $ 的 下 列 含 义 : 
。 p YRA 
。 由 将 总 是 真 
。 应 该 是 由 
。 代理 Q 相信 由 
。 REQ 知道 由 
。 在 程序 了 的 任何 执行 后 ， 由 成 立 。 
因为 模 态 逻 辑 自动 给 出 连接 词 人 (等 价 于 -” 口 -)， 我 们 可 以 找 出 系统 中 心 的 对 应 含义 。 
例如 ,“ 非 中 未 必 真 "意味 着 由 可 能 是 真 的 。 可 按 下 面 步骤 得 出 上 述 结论 : 
中 未 必 真 = 非 中 可 能 ( 真 )。 
因此 ， 
aE bp 未 必 真 = 非 非 四 可 能 ( 真 ) =p 可 能 ( 真 ) 
把 上 述 步骤 用 于 口 $ 的 含义 “代理 Q AB hb”. BA, Ob RE: 
代理 Q 不 知道 非 由 = 就 Q 的 知识 而 言 ,可 能 是 由 
= 中 与 代理 Q 所 知道 的 相 容 
= 就 代理 Q 的 全 部 所 知 ,由 (为 真 ) 。 
对 其 他 模式 ， 人 的 含义 在 表 5-6 中 给 出 。 


表 5-6 对 口 的 每 种 含义 ， 相 应 的 的 含义 





- üg op 
中 必然 真 中 可 能 为 真 
中 将 总 是 真 中 在 未 来 某 时 (为 真 ) 
应 该 是 名 允许 是 由 
代理 Q 相信 中 中 与 Q 的 信念 相 一 臻 
代理 Q 知道 > 就 Q 的 全 部 所 知 ，g( 为 真 ) 


程序 P 的 任意 执行 后 ， 由 成 立 程序 P 的 某 次 执行 后 ， 中 成 立 





模 态 逻辑 与 代理 209 





5.3.1 有 效 公式 储备 


在 上 一 节 中 ， 我 们 看 到 了 基本 模 态 逻辑 的 一 些 有 效 公 式 ， 像 公理 模式 K: 口 (一 少 ) 一 
( 口 一 口 消 ) 以 及 式 ($-3) 中 的 模式 。 很 多 其 他 公式 ， 如 

e [Q p>p 

。 Op-OO p 

e -Op-O-0 p 

e oT 

都 不 是 有 效 的 。 例 如 ， 对 上 述 的 每 个 公式 ， 图 5-3 所 示 的 Kripke 模型 中 都 存在 一 个 不 满 
足 该 公式 的 世界 。 世 界 x, 满足 口 p»， 但 不 满足 p， 因 此 不 满足 口 p 一 p。 如 果 把 R(«,, ~,) 
加 到 模型 中 ， 则 x, 仍 满足 口 p, 但 不 满足 口 口 p。 因 此 ,x 不 满足 口 p 一 口 口 p。 如 果 将 
L(x4) 改 为 1p，gq| ， 那 么 x PRE-Op-O-Op, AHEWR-Op. ACAWEO-Op, 
所 以 路 径 R(x,，xs) R(x;，xs) 可 作为 一 个 反例 。 最 后 ，xs 不 满足 OT， 因 为 这 个 公式 说 的 
是 有 一 个 满足 工 的 可 达 世 界 ， 而 实际 并 非 如 此 。 

然而 ， 如 果 建 构 一 种 把 握 必 然 性 概念 的 逻辑 ， 必 须 使 口 pop 是 有 效 的 ， 因 为 任何 必然 
AK (necessarily true) 的 事情 也 一 定 是 真 的 。 类 似 地 ， 在 口 p 的 含义 为 “代理 Q 知道 p” 的 情 
况 下 ， 期 望 口 pp 是 有 效 的 ， 因 为 任何 已 知 的 事物 一 定 也 是 真 的 。 我 们 不 能 知道 某 件 假 的 
事情 。 然 而 ， 我 们 可 以 相信 假 的 东西 ， 因 此 ， 在 信念 逻辑 的 情形 ， 我 们 不 能 期 望 口 p 一 p 是 
有 效 的 。 

逻辑 工程 的 部 分 工作 就 是 确定 什么 样 的 公式 模式 应 该 有 效 ， 并 且 色 勒 出 恰好 使 这 些 公式 
模式 为 有 效 的 逻辑 。 

表 5-7 显示 了 对 口 的 六 种 有 趣 的 解读 和 八 个 公式 模式 。 对 每 种 解读 和 每 个 公式 模式 ， 我 
们 决定 是 否 应 该 期 望 这 种 模式 有 效 。 注 意 ， 只 有 当 和 yw 的 所 有 情形 ， 公 式 模式 都 应 该 有 
效 时 ， 我 们 才 打 一 个 对 钓 。 如 果 一 个 公式 模式 对 某 些 情况 可 能 有 效 ， 而 对 另外 一 些 情况 不 
然 ， 那 么 我 们 就 打 一 个 叉 。 


表 5-7 关于 口 的 这 些 解 该， 哪些 公式 模式 应 该 成 立 











oe 
O¢ O¢- 04-004 0-09 oT 046 0¢ 口 几 v 口 一 机 Tle WAN Oy C6 AK>O(GA p) 
p DRA v v v v v x v x 
中 将 总 是 真 X v x x x x Vv x 
应 该 是 中 x x x Z v x v x 
代理 Q 相信 中 x v v v v x v x 
代理 Q 知道 由 v v v v v x v x 
程序 P 的 任意 x x x x x x Vv x 
WA. $p 成 立 





表 5-7 有 许多 值得 关注 的 要 点 。 首 先 ， 观 察 到 一 些 位 置 上 应 该 标 对 钩 还 是 叉 是 很 有 争议 
的 。 为 了 化 解 含义 含混 之 处 ， 需 要 将 正 试图 形式 化 的 真 值 概念 叙述 得 精确 些 。 

必然 性 。 当 我 们 间 自 己 口 由 一 口 口 由 和 人 和 一 口 C 由 是 否 应 该 有 效 时 ， 似 乎 依赖 于 我 们 
所 参考 的 必然 概念 。 如 果 必 然 必 定 是 必然 的 ， 则 这 些 公式 是 有 效 的 。 如 果 处 理 的 是 物理 必然 
(physical necessity) ， 那 么 相当 于 : 字 宙 定律 本 身 是 否 必 然 ? M: 它 能 否 得 到 其 自身 应 该 是 
字 宙 的 定律 ? 答案 看 起 来 是 否定 的 。 然 而 ， 如 果 我 们 指 的 是 还 辑 必 然 (logical necessity) ， 那 





210 第 5 章 


我 们 的 答案 似乎 应 该 是 肯定 的 ， 因 为 逻辑 定律 被 认为 是 那些 真 值 不 能 被 否认 的 论断 。 我 们 在 
上 表 中 各 行 的 填充 是 以 逻辑 必然 的 理解 为 基础 的 。 

未 来 总 是 。 必 须 把 未 来 是 否 包 含 现在 精确 化 。 这 恰好 是 公式 口 $ 一 由 所 陈述 的 。 未 来 是 
否 包括 现在 只 是 一 个 约定 。 在 第 3 ZF, RARA CTL 采用 了 “未 来 包括 现在 ”的 约定 。 因 
此 ， 为 了 体现 多 样 性 ， 我 们 假定 在 表格 的 这 一 行 中 未 来 不 包括 现在 。 这 意味 着 口 由 一 中 不 成 
Lo MAOCTHR? 它 是 说 存在 一 个 未 来 世界 ， 使 了 为 真 。 特 别 地 ， 应 该 存在 一 个 未 来 世界 ， 
即时 间 没 有 尽头 。 我 们 是 否 把 这 视 为 真 或 假 精 确 地 依赖 于 我 们 试图 建 模 的 “未 来 "概念 。 在 
第 3 章 的 CTL 中 ,假定 了 OT 的 有 效 性 ， 因 为 这 导致 模型 检测 算法 的 更 简单 表示 ,但 也 可 以 
选择 其 他 方法 进行 建 模 ， 如 表 5-7。 

应 该 。 此 时 ,公式 口 $ 一 口 口 $ 和 Og 一 口 Og 叙述 的 是 我 们 接受 的 道德 准则 是 道德 本 
身 强 制 于 我 们 的 。 这 看 起 来 不 符合 事实 。 例 如 ,我们 可 以 相信 “我 们 系 安全 带 是 应 该 的 ”， 
但 这 并 不 强迫 我 们 相信 “我 们 系 安全 带 应 该 是 应 该 的 ”"。 然 而 ， 凡 应 该 如 此 的 事情 都 应 允许 
如 此 。 因 此 ,， 口 $ 一 人 $。 

信念 。 要 确定 是 否 有 CT， 我 们 将 其 表达 为 一 口上 ， 因 为 它们 是 语义 等 价 的 。 它 说 的 是 代 
理 Q 不 相信 任何 矛盾 。 我 们 必须 明确 ， 是 否 在 建 模 人 类 ， 带 有 所 有 的 怪人 饼 以 及 经 常 明显 是 矛盾 
的 信念 的 人 类 ; 或 者 是 否 在 建 模 在 逻辑 上 是 万 能 的 理想 化 代理 ， 即 它们 能 得 出 关于 信念 的 逻辑 
结论 。 我 们 趋向 于 建 模 后 一 概念 。 当 我 们 考虑 ， 比 如 CC 一口 C@ 由 时 ， 也 会 出 现 同样 的 问题 
RNSKESA-Op~- oO Og, CHME: 如 果 代理 Q 不 相信 某 件 事情 ， 那 么 他 相信 他 
不 相信 它 。 公 式 口 由 v 口 ”中 的 有 效 性 将 意味 着 Q 对 每 件 事情 都 有 一 种 观点 。 我 们 认为 这 不 
AT. MAOP ACPO (HAW)? RUKEA Olp ay) >n Opry), W 
O( oyoy) >Op yO PRE, MRANKEZACE OMY FP, AROC Y 
Y)>OpyOy), KUFFEARN, AARBQHTHAT: 他 或 她 相信 在 红 盒 子 里 或 绿 
盒子 里 有 一 把 铀 是 ， 却 无 需 相信 钥匙 在 红 盒子 里 ， 也 无 需 相信 钥匙 在 绿 盒子 里 。 

知识 。 看 起 来 只 有 表 5-7 中 的 第 一 个 公式 与 信念 有 所 不 同 ， 尽 管 代 理 Q 可 以 有 错误 的 信 
念 ， 但 它 只 能 知道 哪个 是 真 。 在 知识 的 情形 ， 公 式 口 $ 一 口 口 H-Oy-O-Oy HHH 
正 反 省 (positive introspection) 和 负 反 省 (negative introspection)， 因 为 它们 叙述 的 是 代理 可 以 
对 其 知识 进行 反省 。 如 果 她 知道 某 件 事情 ， 她 知道 她 知道 它 ; 而 如 果 她 不 知道 某 件 事 ， 她 也 
知道 她 不 知道 它 。 显 然 ， 这 表示 了 理想 化 知识 ， 因 为 大 多 数 人 类 ， 即 便 绞 尽 脑汁 、 筋 疲 力 
R, 也 不 会 满足 这 些 属性 。 公 式 模式 KK ERB E EAH HH BMW HE (logical 
omniscience) ， 因 为 它 说 代理 的 知识 在 逻辑 推论 下 是 封闭 的 。 这 意味 着 代理 知道 他 所 知道 的 
任何 事情 的 所 有 结论 ， 很 遗憾 (或 者 是 幸运 ?) ， 这 只 对 理想 化 的 代理 而 非 人 类 为 真 。 

程序 执行 。 此 时 ， 我 们 的 公式 看 起 来 成 立 的 并 不 多 。 模 式 口 由 一 口 口 由 说 运行 程序 两 次 
与 运行 一 次 是 相同 的 ， 这 对 从 你 银行 账户 上 提 款 的 程序 来 说 显然 是 错误 的 。 公式 TT 说 的 是 
存在 一 次 可 以 终止 的 程序 运行 ; 这 对 菜 些 程序 是 不 真 的 。 

在 上 一 节 中 ， 公 式 模式 CT 和 口 $$ 视 为 等 价 的 ， 我 们 确实 看 到 它们 得 到 相同 的 对 
AMX. KTH EHO doo HEFT, MO p>) > OTERA. MA, R 
要 前 者 得 到 一 个 对 钩 ， 后 者 应 该 也 是 对 钩 。 正 如 可 对 表 5-7 进行 的 验证 ， 事 实 确实 如 此 。 


5.3.2 可 达 关 系 的 重要 性 质 
到 现在 为 止 已 经 就 口 的 不 同 解 读 ， 确 定 什 么 公式 应 该 有 效 的 水 平 下 塑造 了 人 逻辑 。 我 们 还 
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可 以 在 Kripke RE RKF ER. HORRE RET, BAAR R 相应 的 
解读 ， 这 种 解读 提示 R 将 具有 特定 的 性 质 ， 如 自 反 性 和 传递 性 。 

我 们 从 必然 开始 。 定 义 5.4 的 句子 

XiF 口 光 当 且 仅 当 对 每 个 满足 R(x,y) 的 ye WH yl 

xl Op 当 且 仅 当 存在 一 个 满足 R(x,y) yew, Hylky 
告诉 我 们 : 在 x 处 由 必然 为 真 ， 如 果 中 在 以 某 种 方式 从 * 可 达 的 所 有 世界 y 中 为 真 ; 但 以 何 
种 方式 可 达 ? 直观 上 看 ， 如 果 中 在 所 有 可 能 世界 中 为 真 ， 由 必然 真 ， 所 以 及 (zx，7y) 应 解释 
为 : 根据 x 处 的 信息 ，y 是 一 个 可 能 的 世界 。 

在 知识 的 情形 ， 我 们 认为 R(x,，y) 说 的 是 : 根据 代理 Q 在 % 的 知识 ，y 可 能 是 实际 的 世 
界 。 换 言 之 ， 如 果实 际 的 世界 是 x*， 那么 代理 Q( 不 是 万 能 的 ) 不 能 排除 它 是 y 的 可 能 性 。 如 
果 把 这 个 定义 插入 上 面 关 于 x 目 口 由 的 句子 中 ， 我 们 发 现代 理 Q 知道 5， 当 和 且 仅 当 就 他 全 部 
所 知 ， 在 所 有 可 能 是 实际 世界 的 世界 中 ，g 为 真 。 对 口 的 六 种 解读 的 每 一 种 ，R 的 含意 如 
表 5-8 所 示 。 


表 5-8 对 口 的 每 种 解读 ， 给 出 及 的 含义 











O¢ | R(x, y) 
中 必然 真 根据 在 «处 的 信息 ，y 是 可 能 世界 
申 总 是 真 7 是 x 的 一 个 未 来 世界 
应 该 是 由 根据 在 4 处 的 信息 ，y 是 一 个 可 接受 的 世界 
代理 Q 相信 根据 Q 在 x 处 的 信念 ，y 可 能 是 实际 的 世界 
RE Q 知道 中 根据 Q 在 x 处 的 知识 ，y 可 能 是 实际 的 世界 


P 的 任何 执行 后 ，# 成 立 P 在 x 处 执行 后 ，y 是 一 个 可 能 的 结果 状态 


回顾 一 下 ， 给 定 的 二 元 关系 RR 可 以 是 : 
e HAH: 如 果 对 每 个 xeWW， 有 R(x, x); 
o 对 称 的 : 如果 对 每 个 x, ye W, AR, y) Ry, x); 
串 行 的 ; 如 果 对 每 个 x， 存 在 一 个 y， 使 得 R(x，Yy); 
传递 的 : WRES x, y, zeW, A: R(x, y) MR y, 2) BW R(x，z); 
© KLERK: 如 果 对 满足 R(x,，y) 和 R(x，z) 的 每 个 x,，y，,， ze W， Ry, z); 
。 BH: 如 果 对 每 个 x， 存 在 唯一 的 y 满 足 R(x，y); 
前 向 线性 的 : 如 果 对 每 个 x*,y, zeW, ARC, y) 和 R(x，z) 一 起 蕴涵 R(y，z) 或 者 y =z， 或 者 
R(z, y); 
完全 的 : 如 果 对 每 个 x*,， ye WW， 有 R(x，y) 或 R(y, x); 
。 等 价 关系 : 如 果 它 是 自 反 的 、 对 称 的 和 传递 的 。 
现在 ， 我 们 考虑 如 下 问题 : 根据 对 R 的 不 同 解读 ， 我 们 期 望 R 具 有 这 些 属性 中 的 哪些 ? 
例 5. 9 如 果 口 $ 意味 着 “代理 Q MIO”, WARG, y) MANE: 根据 Q 在 x 处 的 知 
E, y 是 实际 世界 。 
。 应 该 是 自 反 的 吗 ? 这 就 是 说 : 根据 Q 在 x 处 的 知识 ,x 可 以 是 实际 的 世界 。 换 言 之 ，Q 不 能 知道 
与 真实 情况 不 同 的 事物 ， 即 Q 不 能 有 假 的 知识 。 我 们 期 望 R 具 备 的 一 个 属性 。 此 外 ， 它 似乎 依赖 于 
同样 的 直觉 ， 即 假 知识 的 不 可 能 性 ， 因 为 公式 口 66 的 有 效 性 。 事实 上 ， 如 我 们 稍 后 将 看 到 的 ， 
这 个 公式 的 有 效 性 和 自 反 性 是 密切 相关 的 。 
。 有 应 该 是 传递 的 吗 ? 就 是 说 : 如 果 根 据 Q 在 x 处 的 知识 ，y 是 可 能 的 ， 且 根据 它 在 y 处 的 知识 ，z 是 
可 能 的 ,那么 根据 在 x 处 的 知识 ，z 是 可 能 的 。 
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因此 ， 这 看 来 是 真 的。 因为 假设 它 不 真 ， 即 在 * 处 ， 她 知道 某 件 事 情 使 :不 能 成 为 真实 世界 。 
那么 ， 在 * 处 她 将 知道 她 知道 这 件 事 。 因 此 ， 她 将 知道 在 y 处 的 某 件 事情 使 :不 能 成 为 真实 世界 ; 
这 与 我 们 的 前 提 巴 盾 。 

在 这 个 论述 中 ,依赖 于 正 内 省 ， 即 公式 口 一 口 口 $。 同 样 ， 很 快 就 会 看 到 ，R 是 传递 的 与 这 
个 公式 的 有 效 性 之 间 有 密切 的 对 应 。 


5. 3.3 对 应 理论 


在 上 一 节 中 我 们 看 到 : 在 口 $ 一 4 的 有 效 性 与 可 达 关 系 尺 的 自 反 性 之 间 似 乎 有 对 应 。 它 
们 之 间 的 联系 是 : 一 者 都 依赖 于 以 下 直觉 : 代理 所 知 的 任何 事物 都 是 真 的 。 此 外 ， 在 口 b> 
OO $ SR 的 传递 性 之 间 似 乎 也 有 对 应 ; 两 者 看 来 都 断言 了 正 内 省 的 性 质 ， 即 知道 的 事物 是 
知道 已 经 知道 的 。 

本 节 中 我 们 将 看 到 ， 在 这 些 公式 和 RR 的 性 质 之 间 有 精确 的 数学 关系 。 事 实 上 ， 每 个 公 
式 模 式 都 对 应 有 R 的 一 个 性 质 。 从 逻辑 工程 的 观点 看 ， 看 到 这 个 关系 是 非常 重要 的 ， 因 为 
它 帮 助 我 们 理解 所 研究 的 逻辑 。 例 如 ， 如 果 你 相信 正在 塑造 的 模 态 逻 辑 系统 中 一 个 特定 的 公 
式 模式 应 该 被 接受 ， 那 么 值得 考察 R 的 对 应 性 质 并 检验 该 性 质 对 应 用 也 有 意义 。 再 者 ， 某 
些 公式 的 意义 看 起 来 难以 理解 ， 因 此 考察 R 的 对 应 性 质 可 能 有 所 帮助 。 

为 了 陈述 公式 模式 与 其 对 应 性 质 之 间 的 关系 ， 需 要 ( 模 态 ) 标 架 的 概念 。 

定义 5. 10 标 架 大 =( 丈 ，R) 是 一 个 世界 的 集合 政和 四 上 的 二 元 关系 丸 。 

标 架 就 像 Kripke 模型 (定义 5.3) 一 样 ， 差 别 仅 在 于 没有 标识 函数 。 通 过 忘掉 标识 函数 就 
可 以 从 任何 模型 中 抽取 一 个 标 架 。 例如， 图 5-9 显示 了 从 图 5-3 的 Kripke 模型 抽取 的 标 架 。 
标 架 不 过 是 世界 的 一 个 集合 和 它们 之 间 的 一 个 可 达 关 系 。 它 没有 关于 在 不 同 世界 里 哪些 原子 
公式 为 真 的 信息 。 然 而 ， 有 时 说 标 架 作 为 一 个 整体 使 一 个 公式 有 效 。 其 定义 如 下 。 


x 
| = O 


Xs 


图 5-9 图 5-3 中 模型 的 标 架 


定义 5. 11 标 架 大 = (四 ，R) 使 基本 模 态 逻 辑 公式 $4 有效， 如果 对 每 个 标识 函数 L: 下 
—P( Atoms) RBS} we W, HRM, wilt 中 Ria, HPM=(W, R, L), WHEN 5.4, 
M, wl- ps ER, 我 们 说 FF 由 成 立 。 

可 以 证 明 : 如 果 一 个 标 架 使 一 个 公式 有 效 ， 那 么 它 也 使 该 公式 的 每 个 代 换 实 例 有 效 。 反 
之 ， 如 果 标 架 使 一 个 公式 模式 的 一 个 实例 有 效 ， 那 么 它 也 使 该 模式 有 效 。 这 与 模型 形成 了 饼 
明 的 对 照 。 例 如 ， 图 5-3 的 模型 使 p vOp vO op AR, RE py Opyo Oy 的 每 个 实例 
有 效 ， 比 如 x6 不 使 gv Og vO Gq 有 效 。 因 为 标 架 不 包括 关于 原子 命题 真 假 的 任何 信息 ， 
所 以 它们 不 能 区 分 不 同 的 原子 。 因 而 ， 如 果 标 架 使 一 个 公式 有 效 ， 则 它 也 使 采用 由 ， yo 
替换 该 公式 的 原子 pp，9，… 所 得 到 的 公式 模式 有 效 。 
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例 5.12 考虑 图 5-10 HREF 


图 5-10 另 一 个 标 架 


1. FAA pop 有 效 。 为 看 到 这 一 点 ， 必 须 考虑 该 标 架 的 任意 标识 函数 ， 共 有 8 种 这 样 的 标识 函 
数 ， 因 为 在 三 种 世界 中 的 每 个 世界 里 ，P 都 可 能 为 真 或 为 假 ， 证 明 对 每 个 标识 函数 ， 每 个 世界 都 满足 该 公 
式 。 我 们 不 实际 证 明 ， 而 是 给 出 一 个 通用 的 论述 : Rs 是 任何 世界 ,假定 x 上 口 p»， 证 明 xt p。 我 们 知道 
R(x，x) ， 因 为 图 中 的 每 个 «都 是 从 自身 可 达 的 ; 故 由 定义 5.4 中 关于 口 的 句子 ， 得 到 x iF po 

2. 因此 ， 我 们 的 标 架 F 使 这 种 形状 的 任何 公式 有 效 ， 即 它 使 公式 模式 口 6 一 AR. 

3. 这 个 标 架 不 使 公式 口 p 一 口 口 p 有 效 。 因 为 假设 取 图 5-11 的 标识 函数 ， 那么 x Op, 但 x KOO p. 


图 5-11 一 个 模型 


如 果 考 虑 为 什么 图 5-10 的 标 架 使 口 p-p AM MAO pO p 有 效 ， 你 也 许 会 猜 到 下 
面 的 定理 : 

定理 5.13 设 王 =( 下 ，R) 是 一 个 标 架 。 

1. 下 列 叙 述 是 等 价 的 : 

一 R 是 自 反 的 ; 

FEO 6-6 AR; 

一 了 使 口 p 一 p BR. 

2. 下 列 叙 述 是 等 价 的 : 

一 R 是 传递 的 ， 

一 了 使 口 6-OD p EX; 

一 天 使 口 p 一 口 口 p 有 效 。 

证 明 第 1 项 和 第 2 项 要 求证 明 三 件 事 : (a) 若 尺 有 性 质 ， 则 标 架 使 公式 模式 有 效 ; 
(b) 若 标 架 使 公式 模式 有 效 ， 则 它 使 其 实例 有 效 ; (e) 若 标 架 使 公式 实例 有 效 ， 则 R 有 该 
性 质 。 

1.(a) 假 定 丸 是 自 反 的 。 设 工 是 一 个 标识 函数 ,那么 KM = ( 丈 ， 有 7) 是 基本 模 态 逻辑 的 一 个 模型 。 需 
要 证 明 MEF 口 $4 一 $。 这 意味 着 需要 证 明 : 对 任何 xe W, si-Odod, Alt, URE xo MAUS. 4 关 
于 蕴涵 的 甸子。 假定 x 外 口 $9， 因 为 R(x，x) ， 由 定义 5.4 关 于 口 的 句子 ， 直 接 可 得 x 由 p。 所 以 , 证 明了 
x -O 6-4. 

(b) RBS $ Hp. 

(BERRE pp AR. HEM x, BUH R(x，x)。 取 一 个 标识 函数 L， 使 得 pg L(x)， 且 对 除 % 
外 的 所 有 世界 y，p e L(y) 。 用 反 证 法 。 假 设 没 有 R(x,，x)， 则 % 目 口 p， 因 为 从 x 可 达 的 所 有 世界 都 满足 
P， 理 由 是 除 * 外 的 所 有 世界 都 满足 ， 但 因 丰 使 口 pop AR, HISD IO pop. A, Hx lKOp 与 x 
IFO) pop BARB «lb p。 这 与 假设 没有 尽 (x，x) MPR, BARN pel(«). FEER H 
必须 有 R(x, x). 
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2. (a) BER EERE. RLERRRABM=(W, R, L), SBEAMI-O¢-OO 6. Boe 
xe W, EW x<|/-Oo-OO dé. RK«l-Oo, 需要 证 明 * 卜 口 口 几 。 利 用 定义 5.4 关于 口 的 句子 ， 也 就 是 任 
何 满足 R(x, y) Wy PREO po BM, HWER, DMR y, DHEA y, z, Azle po 

假设 有 满足 R(x, ARY, z) 的 yY 和 z。 由 于 RR 是 传递 的 事实 ， 我们 得 到 R(x，z)。 因 为 已 经 假设 了 
x 上 口 $， 所 以 由 口 的 含义 ,得 到 zl 由 。 这 就 是 我 们 需要 证 明 的 。 

(b) HS b Hpo 

(c) 假 设 标 架 使 口 p 一 口 口 p AR. ERRE R(x, y) MRC, zx, y 和 zz， 要 证 明 R(x, z)o 

定义 一 个 标识 函数 工 ， 使 得 peZL(z) ， 且 对 除 z 外 的 所 有 世界 w，p e L(w)。 假 定 没 有 R(x，z)， 则 小 
Op, RAHNA wz, wi- p。 应 用 公理 口 p 一 口 口 p， 得 到 * 收口 口 p。 故 > 站 口 成立， 因为 有 
R(z，7y)。 后 者 及 RIy，2) 可 产生 zlhp， 矛 盾 。 于 是 ， 必 须 有 R(x, 2), 口 

表 5-12 完成 了 这 幅 图 景 ， 对 于 一 个 公式 族 ， 它 表示 R 的 对 应 性 质 。 这 张 表 的 数学 意义 
如 下 : 


表 5-12 对 应 某 些 公式 的 及 的 性 质 








名 R 公式 模式 RE 
T O 由 一 由 自 反 的 
B 一口 C 对 称 的 
D O 4 一 人 4 BATH 
4 口 4 一 口 口 $ 传递 的 

5 Ch 一 口 2h 欧 几 里 得 
Ll goog 函数 的 

Qe O op) VO Gy AD y 9) 前 向 线性 的 


定理 5. 14 HRE HCW, R) 5-12 中 的 一 个 公式 模式 有 效 ， 当 且 仅 当 尺 具 有 表 中 
的 对 应 性 质 。 
表 中 左边 一 列 的 公式 名 称 源 自 历史 ， 已 保留 下 来 在 书籍 中 仍 广泛 使 用 。 


5.3.4 —#R AEB 


本 节 的 逻辑 工程 方法 鼓励 我 们 根据 应 用 ， 选 择 公 式 模式 的 集合 C 来 设计 逻辑 。 一 种 模 态 
逻辑 将 通过 设 定 公 式 模式 的 一 个 集合 C 来 定义 。 对 于 给 定 的 应 用 ， 我们 可 以 考虑 的 公式 模式 
的 一 些 例子 包括 在 表 5-7 和 表 5-12 中 。 

定义 5. 15 设 L 是 模 态 逻辑 的 公式 模式 的 集合 ，TU ly 是 基本 模 态 逻辑 公式 的 集合 。 

1. 集合 工 在 代 换 实例 下 是 封闭 的 ， 当 且 仅 当 只 要 eI，$ 的 任何 代 换 实例 也 在 工 中 。 

2. 设 C, 是 包含 C 的 所 有 实例 的 最 小 集合 。 

3. 在 C 中 了 工 可 语义 推导 出 消 ， 当 且 仅 当 对 其 标 架 使 CA 有效 的 所 有 模型 以 及 对 模型 中 的 所 有 世界 *， 若 x 
WAT Ms we}. Ent, 说 TT 上 cy 成立。 

注意 ， 对 L = 名， 这 个 定义 与 定义 \ ref {mod: sement} (# MS. 15 ) 之 一 是 相 容 的 ， 
因为 对 标 架 的 要 求 是 空 的 。 对 逐 辑 工程 ， 我 们 要 求 模 态 逻 辑 & 满 足 ， 

。 关于 代 换 实例 封闭 ; 否则， 我 们 就 不 能 由 可 达 关 系 的 性 质 来 刻画 /,; 

。 在 下 列 意义 下 是 相 容 的 ; HERBS, 使 得 对 所 有 peL, FEORY; 否则， 对 所 有 了 My, 

了 Fe yw 成立! 在 逻辑 工程 的 大 多 数 应 用 中 ， 相 容 性 是 容易 确立 的 。 

。 在 必然 下 封闭 ， 即 对 LC 中 的 每 个 公式 p, RAO p ELF., 
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。 在 假 言 三 段 论 下 封闭 ， 即 对 CL 中 的 每 个 公式 由 和 中， 我 们 有 由 在 L 中 。 

我 们 现在 研究 几 种 重要 的 模 态 逻辑 ， 它 们 用 公式 模式 的 一 个 相 容 集合 L 扩 展 基 本 模 态 
逻辑 。 

模 态 逻辑 K ”最 弱 的 模 态 人 逻辑 没有 任何 选 定 的 公式 模式 ( 像 表 5-7 M#S-12), L= 
他， 而 这 种 模 态 逻辑 称 为 KK， 因 为 它 满足 公式 模式 的 所 有 实例 ; 具有 这 个 性 质 的 模 态 逻 辑 
称 为 正规 的 (normal) ， 本 书 中 研究 的 所 有 模 态 逻辑 都 是 正规 的 。 

模 态 逻辑 KT45 ”一 个 熟知 的 模 态 逻辑 是 KT45， 在 技术 文献 中 也 称 为 SS$。 其 中心 = 
[T, 4, 51,7. 45 来 自 表 5-12。 这 个 逻辑 用 于 知识 推理 。 口 由 的 含义 是 : 代理 Q AS. 
表 5 -12 分 别 告 诉 我 们 : 

T. KR: 代理 Q 仅 知 道真 的 事情 。 

4. ERG: 如 果 代 理 Q 知道 某 事 ， 那 么 她 知道 她 知道 它 。 

5 负 内 省 : 如 果 代 理 Q 不 知道 某 事 ， 那 么 她 知道 她 不 知道 它 。 

在 这 个 应 用 中 ， 公 式 模式 K 意味 着 逻辑 万 能 : 代理 的 知识 关于 逻辑 推论 是 封闭 的 。 
注意 这 些 性 质 代表 了 知识 的 理想 化 。 人 类 知识 没有 这 样 的 性 质 ! 即使 计算 机 代理 也 可 能 
不 具有 全 部 这 些 性 质 。 在 文献 中 ， 为 定义 更 接近 现实 的 知识 逻辑 有 不 少 尝试 ， 但 此 处 不 
考虑 。 

逻辑 KT45 的 语义 必须 只 考虑 自 反 的 (T)、 传 递 的 (4) 和 欧 几 里 得 (5) 的 关系 R。 

事实 5. 16 一 个 关系 是 自 反 的 、 传 递 的 和 欧 几 里 得 的 ， 当 且 仅 当 它 是 自 反 的 、 传 递 的 
和 对 称 的 ， 即 它 是 一 个 等 价 关系 。 

与 K 相 比 ，KT45 中 合成 模 态 词 的 本 质 不 同 的 方式 少 ， 从 这 个 意义 上 讲 ，KT45 比 K 更 
简单 。 

定理 5. 17 在 KT45 中 ， 模 态 算 子 和 否定 的 任何 序列 都 等 价 于 下 列 之 一 : -, 口 ，O， 
一 ，" 口 和 一 心 ， 其 中 -表示 任何 否定 或 模 态 词 都 没有 。 

模 态 逻辑 KT4 ” 模 态 逻辑 KT4， 即 L 等 于 |T，4} ， 在 文献 中 也 称 为 $4。 对 应 理论 告诉 我 
们 其 模型 恰好 是 Kripke 模型 At = (WW，R,L)， 其 中 RR 是 自 反 的 和 传递 的 。 这 样 的 结构 在 计 
算 机 科学 中 经 常 是 很 有 用 的 。 例 如 ， 如 果 由 代表 一 段 代码 的 类 型 (由 可 以 是 int x int 
boo1l) 显 示 某 代码 需要 一 对 整数 作为 输入 并 输出 一 个 布尔 值 ， 那 么 , 口 由 可 以 代表 类 型 中 
的 驻 留 代码 (residual code) 。 于 是 ， 在 当前 的 世界 x 中 这 段 代码 可 以 不 被 执行 ， 但 可 以 保存 
〈《 驻 留 ) 用 于 后 面 的 计算 阶段 执行 。 那 么 ， 公 式 模 式 口 66 和 公理 了 意味 着 代码 可 立即 执 
行 ; 而 公式 模式 口 600 6 和 公理 4 则 允许 代码 保持 驻 留 状态 ， 即 可 以 在 未 来 计算 阶段 反 
复 延迟 它 的 执行 。 这 样 的 类 型 系统 在 代码 的 具体 化 及 部 分 赋值 中 有 重要 应 用 。 感 兴趣 的 读者 
可 参考 本 章 末 的 文献 注 记 。 

定理 5.18 在 KT4 中 ， 模 态 算 子 和 和 否定 的 任何 序列 等 价 于 下 列 之 一 ， -, D, ©, 
09,90, 090, 909, =, -0, -0, 700, -00, -000#-9090, 

直觉 主义 命题 远 辑 在 第 1 章 给 出 了 命题 逻辑 的 一 个 自然 演绎 系统 ， 它 关于 以 真 值 表 为 
基础 的 语义 推导 是 合理 及 完备 的 。 我 们 还 指出 ， 在 特定 的 计算 场合 下 ,证 明 规 则 PBC, LEM 
和 一 一 e 是 有 疑义 的 。 如 果 在 自然 演绎 证 明 中 不 允许 使 用 这 些 证 明 规 则 ， 我 们 得 到 一 种 逻辑 
及 其 证 明 论 ， 这 种 逻辑 称 为 直觉 主义 命题 逻辑 (intuitionistic propositional logic ) 。 到 目前 为 止 ， 
一 切 都 好 ， 但 不 太 清楚 这 样 一 种 逻辑 可 以 有 什么 样 的 语义 、 合理 性 和 完备 性 。KT4 的 特定 模 
型 能 够 很 好 地 胜任 这 项 工作 。 问 顾 对 应 理论 蕴涵 KT4 的 模型 人 =(W, R, L) PRHREAR 
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和 传递 的 。 对 直 党 主义 命题 逻辑 的 模型 ， 我 们 只 需 附 加 一 个 要 求 : Em RA LKFR 
是 单调 的 ， 即 R(x, VAR L(x) 是 L(y) 的 一 个 子 集 。 这 建 模 了 如 下 现象 : 在 从 给 定 的 世界 
可 达 的 所 有 世界 中 ， 正 原子 公式 的 真 值 将 一 直 保 持 不 变 。 

定义 5. 19 直觉 主义 命题 逻辑 的 模型 是 KT4 的 一 个 模型 M = (W, R, L), EE R(x, y) 
总 蕴涵 L(x) SL(Y) 。 给 定 如 式 (1-3) 中 的 命题 逻辑 公式 ,我们 像 定义 (5. 4) 一 样 定义 x e, 
关于 一 和 一 的 句子 除外 。 对 于 由 一 由 ， 我 们 定义 x IH ,一 $,， 当 和 且 仅 当 对 满足 R(x，y) 的 所 
Ay, RE yl ob, RA yl 四,。 对 于 一 加 ， 我 们 定义 “IF 一 $9， 当 且 仅 当 对 满足 R(x，y) 的 
RA y, RNA y Ko, 

作为 一 个 例子 ， 考 虑 模型 W = |x, yl 满足 可 达 关 系 R=|i(x, 2), (x, y), (ys y)}。 
事实 上 R 是 自 反 的 和 传递 的 。 对 于 满足 L(x) =O, L(y) =| pl 的 标识 函数 L， 我 们 断言 xk 
PY7P( 记 得 p yop 是 LEM 的 一 个 实例 ， 在 第 1 章 用 完全 自然 演绎 演算 证 明了 这 一 点 )。 我 
MEA xl- p, Ap 不 在 空 集 L(x) 中 。 于 是 ， 定义 5.4 关于 v 的 情形 蕴涵 x It pyp 成 立 ， 
仅 当 x 目 ”2 成立。 但 xIH~“p 却 不 成 立 ， 因 为 存在 一 个 满足 R(x，y) 的 世界 y， 使 得 yIhHp 
成 立 (因为 peL(y) )。KT4 模型 中 可 能 世界 的 可 用 性 与 一 和 一 的 “ 模 态 解 释 ” 一 起 破坏 了 经 典 
逻辑 中 定理 LEM 的 有 效 性 。 

现在 可 以 按 与 模 态 逻辑 相同 的 方式 定义 语义 推导 。 然 后 ， 可 以 证 明 约 化 的 自然 演绎 系统 
关于 这 种 语义 推导 是 合理 和 完备 的 ， 但 这 些 证 明 超出 了 本 书 的 范围 。 


5.4 自然 演绎 


直接 用 定义 验证 语义 推导 下 F< 东 是 相当 困难 的 。 我 们 不 得 不 考虑 满足 了 的 全 部 公式 的 
所 有 Kripke 模型 以 及 其 中 的 所 有 世界 。 幸 运 的 是 ， 我 们 有 一 种 实用 得 多 的 途径 ， 它 分 别 是 
第 1 章 和 第 2 章 遇 到 的 自然 演绎 系统 的 扩展 和 改进 。 回 顾 我 们 把 自然 演绎 证 明 呈 现 为 证 明 树 
的 线性 表示 ， 其 中 涉及 控制 假设 或 量词 的 作用 范围 的 证 明和 矩形 框 。 证 明和 矩 形 框 中 有 公式 和 / 
或 其 他 框 。 有 些 规则 用 于 指示 如 何 构 造 证 明 。 和 矩形 框 用 假设 打开 ; 当 一 个 矩形 框 根 据 一 个 规 
则 关闭 时 ， 我 们 说 其 假设 被 解除 。 公 式 可 以 重复 并 引进 矩形 框 ， 但 不 可 以 带 出 矩形 框 。 每 个 
公式 的 右边 必须 有 某 些 依据 : 依据 可 以 是 一 个 规则 名 称 ， 或 者 是 “假设 ”， 或 者 是 证 明 规 则 
副本 的 一 个 实例 ; 例如 ， 见 例 1.9 和 例 1.11。 

对 模 态 逻辑 ， 自 然 演绎 以 一 种 非常 相似 的 方式 进行 。 主 要 区 别 是 引进 了 一 种 新 型 证 明 
框 ， 用 虚线 画 出 。 关 于 连接 词 口 的 规则 需要 这 种 框 。 虚 线 框 与 实 线 框 的 作用 完全 不 同 。 如 我 
们 在 第 1 章 看 到 的 ， 进 入 一 个 实 线 证 明 框 意味 着 做 一 个 假设 。 进 入 一 个 虚线 框 意味 着 在 一 个 
任意 可 达 世 界 中 进行 推理 。 如 果 在 一 个 证 明 的 任意 地 方 有 口 $$， 就 可 以 打开 一 一 个 虚线 框 ， 并 
将 4$ 放 入 其 中 。 然 后 ， 可 以 对 由 进行 推理 获得 (例如 少 ) 。 现 在 我 们 可 从 虚线 框 中 出 来 ， Al 
为 已 经 在 一 个 任意 可 达 氟 界 中 证 明了 y， 可 以 在 虚线 框 外 面 的 世界 中 推导 出 口 峭 。 

于 是 ， 将 公式 带 进 虚线 框 和 将 公式 拿 出 虚线 框 的 规则 如 下 ; 

。 只 要 在 一 个 证 明 中 出 现 口 由 ， 由 就 可 以 放 和 随后 的 虚线 框 中 。 

。 只 要 在 一 个 虚线 框 的 末端 出 现 光 , 口 少 就 可 以 置 于 那个 虚线 框 之 后 。 

这 样 ， 我 们 添加 了 两 个 规则 ， 口 引入 和 口 消去 : 

在 模 态 逻辑 里 ， 自 然 演绎 证 明 既 包含 实 线 框 又 包含 虚线 框 ， 并 且 可 以 任意 嵌 套 。 注 意 ， 
关于 并 没有 显 式 规则 ， 在 证 明 中 心 必须 写成 - 口 -。 

KT45 的 附加 规则 规则 口 ;和 口 。 足 以 抓 住 模 态 逻 辑 K 的 语义 推导 本 质 。 如 果 想 通过 
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证 明 抓 住 更 强 的 模 态 逻辑 (例如 KT45 ) 语义 推导 的 本 质 ， 就 需要 额外 的 规则 。 在 KT45 的 情 
形 ， 这 些 额 外 的 加 强 表述 为 关于 公理 T，4 和 5 的 规则 模式 : 
Dor De 4 Ug 5 
中 DO} O-O ¢ 

规则 4 和 5 的 一 个 等 价 的 替换 是 放宽 公式 进出 虚线 框 的 规则 。 因 为 规则 4 允许 我 们 进入 
双 层 框 ， 换 种 方式 看 ， 它 允许 将 以 口 开 头 的 公式 移 人 虚线 框 。 类 似 地 ， 公 理 5 所 起 的 作用 是 
允许 将 以 一 口 开头 的 公式 移 人 虚线 框 。 因 为 5 是 一 个 模式 ，$ 和 一 一 4 在 基本 模 态 逻辑 中 是 
等 价 的 ， 所 以 在 不 改变 表达 能 力 和 公理 意义 的 情况 下 ， 可 将 所 有 用 一 上 取代。 

定义 5.20 设 L 是 公式 模式 的 集合 。 我 们 说 THe y 是 有 效 的 ， 如 果 在 用 L 中 公理 和 工 
中 前 提 扩 展 后 的 基本 模 态 逻辑 的 自然 演绎 系统 中 ， 则 少 有 证 明 。 

例 5.21 证 明 下 列 矢 列 是 有 效 的 : 

1. Frx 口 PA^Dg-> 口 (p^9)。 






































1 OpaQg 假设 
UP ^el 
° Hg ^el 
人 人 
° q 1 e3 
6 PNA nid, 5 
7 D(pAg) S (ST ine 
8 OprQ q-O(pQq) 7 
2. Kxrnsp>oO Op, 
- 
P 假设 
。 OP 假设 
oP T2 
4 + Tel, 3 
° 0> p 542-4 
5 一 对 第 5 行 用 公理 5 
p>0>0> p Si 1-6 
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对 第 3 行 用 公理 5 | 
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5.5 多 代理 系统 中 的 知识 推理 


在 多 代理 系统 (multi-agent system) H, 不同 代理 有 关于 世界 的 不 同 知识 。 一 个 代理 可 能 
需要 对 自己 关于 世界 的 知识 进行 推理 ; 也 可 能 需要 对 其 他 代理 关于 世界 的 知识 进行 推理 。 例 
如 ， 在 交易 场合 ， 卖 车 者 必须 考虑 买 者 对 该 汽车 的 价值 知道 些 什 么 。 买 者 也 一 定 会 考虑 卖 者 
知道 买 者 对 价值 知道 些 什么 等 。 

知识 推理 (Reasoning about knowledge ) 指 的 是 这 样 的 思想 : 一 组 中 的 代理 不 仅 考虑 关于 
世界 的 事实 ， 而 且 还 要 考虑 本 组 中 其 他 代理 的 知识 。 这 种 思想 的 应 用 包括 博弈 、 经 济 学 、 密 
码 学 与 协议 。 人 类 不 太 容 易 理 清 像 下 面 这 样 骨 套 语句 的 脉络 : 

Dean 不 知道 尼克 松 是 否 知道 Dean 知道 尼克 松 知道 McCord 在 水 门 的 办 公 室 窃听 
O’ Brien, 

然而 在 这 方面 ， 计 算 机 代理 比 人 类 做 得 更 好 。 


5.5.1 一 些 例子 


我 们 从 多 代理 环境 下 推理 的 一 些 经 典 例子 开始 。 在 下 一 节 ， 塑 造 一 种 模 态 逻辑 ， 允 
许 通过 矢 列 对 这 些 例 子 进行 形式 表示 ， 进 而 通过 在 自然 演绎 系统 中 证 明之 而 解决 了 这 
些 问 题 。 

TERE 有 三 位 智者 ， 其 公共 知识 一 一 为 每 个 人 所 知 ， 并 且 每 个 人 都 知道 其 他 人 知道 
的 ， 等 等 一 -有 三 顶 红 帽子 和 两 顶 白 帽 子 。 国 王 给 每 个 智者 头 上 戴 一 顶 帽 子 ， 他 们 看 不 到 自 
己 的 帽子 。 然 后 轮流 问 每 个 人 是 否 知道 他 们 头 上 帽子 的 颜色 。 假 设 第 一 个 人 说 不 知道 ， 那 么 
第 二 个 人 说 他 也 不 知道 。 

由 此 ， 第 三 个 人 一 定 知道 自己 帽子 的 颜色 。 这 是 为 什么 ? 第 三 个 人 的 帽子 是 什么 颜色 ? 

为 了 回答 这 些 问题 ， 我 们 列举 存在 的 七 种 可 能 : 它们 是 


RRR 

WRR 
RRW 

WRW 
RWR 

WWR 


RWW 
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RWW 指 如 下 情形 : 第 一 、 第 二 和 第 三 人 分 别 有 红 色 、 白 色 和 白色 帽子 。 第 八 种 可 能 WWW 
被 排除 ， 因 为 只 有 两 项 白 帽子 。 

现在 从 第 二 人 和 第 三 人 的 观点 考虑 。 当 他 们 昕 第 一 人 所 讲 后 ， 可 以 排除 真实 情境 是 
RWW 的 可 能 性 。 如 果 是 这 种 情况 ， 那 么 第 一 个 人 看 见 另 两 个 人 戴 着 白 帽 子 并 且 他 知道 只 有 
两 顶 白 帽子 ， 就 会 推断 出 他 自己 的 帽子 一 定 是 红色 的 。 由 于 他 说 不 知道 ， 所 以 真实 的 情形 不 
会 是 RWW。 注 意 ， 为 了 实施 这 个 推理 ， 第 二 人 和 第 三 人 必须 是 聪明 的 ， 并 且 他 们 也 一 定 知 
道 第 一 人 是 聪明 和 诚实 的 。 在 这 个 难题 中 ,假设 人 的 诚实 、 智 慧 和 洞察 力 是 公共 知识 一 一 为 
每 人 所 知 ， 并 且 知 道 为 每 人 所 知 ， 等 等 。 

当 第 三 人 听 到 第 二 人 所 讲 后 ， 他 可 以 排除 真实 情形 是 WR 的 可 能 性 。 原 因 是 类 似 的 ; 
如 果 是 这 种 情形 ， 第 二 人 会 知道 他 自己 的 帽子 是 红 的 ， 但 他 没有 说 。 此 外 ， 当 听见 第 二 人 的 
答案 后 ， 第 三 人 也 可 以 排除 RRW 的 情形 ， 原 因 是 : 如 果 第 二 人 已 经 看 见 第 一 人 戴 红 帽子 且 
第 三 人 戴 白 帽子 ， 他 会 知道 一 定 是 RWW 或 RRW; 但 他 从 第 一 个 人 的 回答 知道 不 可 能 是 
RWW， 因 此 他 推断 出 是 RRW 的 情形 ， 故 他 戴 的 是 一 顶 红 帽子 。 但 他 没有 得 出 这 个 结论 ， 所 
以 , 第 三 人 由 推理 得 到 不 能 是 RRW 的 情形 。 

昕 了 第 一 人 和 第 二 人 所 讲 后 ,第 三 人 已 排除 了 RWW, WRW 和 RRW; AF RRR, 
RWR、WRR 和 WWR。 在 所 有 这 些 情形 中 ， 他 都 戴 一 顶 红帽子 ， 所 以 他 推断 自己 一 定 戴 着 
红帽子 。 

注意 到 人 们 从 听 其 他 人 讲话 中 学 到 很 多 东西 。 我 们 再 次 强调 以 下 假设 的 重要 性 : 就 其 知 
识 状态 而 言 他 们 讲 真 话 ， 而 且 有 足够 的 洞察 力 和 才智 能 得 出 正确 的 结论 。 事 实 上 ， 三 个 人 都 
诚实 、 有 洞察 力 并 且 联 明 还 不 够 ; 还 必须 彼此 知道 如 此 ， 在 后 面 的 例子 里 ， 这 个 事实 也 是 已 
知 的 ， 等 等 。 因 此 ， 我 们 假设 所 有 这 些 都 是 公共 知识 。 

RARE ”这 是 智者 谜 题 的 众多 变异 之 一 ， 差 别 在 于 问题 是 并 行 而 不 是 顺序 提出 的 。 有 
一 大 群 孩 子 在 花园 里 玩 。 无 需 说 ， 他 们 的 洞察 力 、 诚 实 和 智慧 是 公共 知识 。 一 定数 量 的 孩 
子 ， 如 k=1 个 ， 他 们 的 前 额 粘 了 泥 。 每 个 孩子 都 能 看 见 别人 前 额 上 的 泥 ， 但 看 不 见 自己 前 
额 上 的 泥 。 若 有 >1， 则 每 个 孩子 都 能 看 见 另 一 个 前 额 有 泥 的 孩子 ， 故 每 个 人 都 知道 这 一 群 
人 中 至 少 有 一 个 粘 沁 了。 考虑 下 面 两 个 情境 : 

情境 1. 父亲 反复 问 这 个 问题 “你 们 其 中 有 人 知道 自己 额头 上 是 否 有 泥 吗 ?” 第 一 次 他 
们 都 回答 “不 知道 ”。 但 不 像 在 智者 例子 中 那样 ， 他 们 从 别人 回答 “不 ”中 没有 得 知 任何 信息 ， 
所 以 他 们 对 父亲 的 反复 提问 继续 回答 “不 ”。 

情境 2. 父亲 首先 宣布 他 们 中 的 至 少 一 个 人 粘 上 泥 了 一 一 这 是 他 们 都 已 经 知道 的 ; 然后 ， 
像 前 面 一 样 ， 他 反复 问 他 们 :“ 你 们 其 中 有 人 知道 自 已 额头 上 是 否 有 泥 吗 ?” 第 一 次 他 们 都 回 
答 “ 不 知道 ”。 事 实 上 ， 他 们 对 同一 问题 的 前 -1 次 重复 都 回答 为 “不 知道 ”。 但 在 第 次 ， 
那些 前 额 粘 泥 的 孩子 会 回答 “是 ”。 

乍 一 看 ， 这 令 人 相当 迷惑 ， 两 种 情况 的 差别 仅仅 是 在 第 二 种 情况 中 父亲 宣布 了 他 们 已 经 
知道 的 一 些 事情 。 就 此 推断 孩子 们 从 这 一 宣布 中 什么 也 没 学 到 是 错误 的 。 尽 管 每 个 人 都 知道 
宣布 的 内 容 ， 但 父亲 说 出 后 ， 它 就 成 了 他 们 中 的 公共 知识 ， 所 以 现在 他 们 都 知道 别人 也 知道 
它 ， 等 等 。 这 是 两 种 情境 间 的 关键 不 同 。 

为 了 理解 情境 2， 考虑 的 几 个 特例 。 

k=1， 即 只 有 一 个 孩子 烙 泥 。 那 个 孩子 立即 能 回答 “是 ”， 因 为 他 已 经 听 到 了 父亲 的 话 
并 且 没 有 看 见 任 何其 他 粘 泥 的 孩子 。 
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=2， 比 如 只 有 和 孩子 Ramon 和 Candy 粘 泥 。 第 一 次 每 个 人 都 回答 不”。 现 在 Ramon 考 
Re: 既然 Candy 第 一 次 回答 “不 ”， 她 一 定 看 到 有 人 粘 泥 。 好 了 ， 我 能 看 见 的 唯一 粘 泥 的 是 
Candy， 所 以 如 果 她 能 看 见 某 个 其 他 人 粘 泥 ， 那 一 定 是 我 。 所 以 Ramon 第 二 次 回答 “是 ”。 
Candy 可 对 Ramon 做 对 称 推理 ， 并 且 在 第 二 次 也 回答 “是 ”。 

k=3， 比 如 仅 有 三 个 孩子 Alice、Bob 和 Charlie 粘 泥 。 在 前 两 次 每 个 人 都 回答 “不 ”。 但 
现在 Alice 想 : 如 果 只 有 Bob 和 Charlie 粘 泥 ， 他 们 在 第 二 次 会 回答 “是 ”"; 上 面 对 天 =2 时 做 
了 论证 。 所 以 一 定 有 第 三 个 人 粘 泥 。 由 于 我 只 能 看 见 Bob 和 Charlie 粘 泥 ， 所 以 第 三 个 人 一 
定 是 我 。 因 此 ， 第 三 次 Alice 回答 “是 ”。 由 对 称 性 的 原因 ，Bob 和 Charlie 也 是 如 此 。 

对 上 的 其 他 情况 类 似 。 

为 看 出 在 父亲 宣布 孩子 中 的 一 个 粘 泥 之 前 ， 它 不 是 公共 知识 ， 再 考虑 有 =2，Ramon 和 
Candy 粘 泥 的 情况 。 当 然 ，Ramon 和 Candy 都 知道 某 人 粘 泥 一 一 他 们 彼此 看 得 见 。 但 是 ， 例 
如 ，Ramon 不 知道 Candy 知道 某 人 粘 泥 。 就 Ramon 所 知 Candy 可 能 是 唯一 的 脏 孩 子 ， 因此 

看 不 到 其 他 脏 孩 子 。 


5.5.2 模 态 逻辑 KT45” 


现在 我 们 推广 在 5.3.4 节 中 给 出 的 模 态 逻辑 KT45。 它 不 只 有 一 个 口 ， 而 是 有 很 多 ， 代 
理 的 固定 集合 A = {1，2，…，n| 中 的 每 个 代理 i， 都 对 应 有 一 个 连接 词 。 将 这 些 模 态 连 接 词 
写 为 K,( 对 每 个 代理 ie A); kK 是 为 了 强调 应 用 于 知识 。 假 设 原子 公式 的 一 个 集 p，9， 
r, o 公式 Kp 意味 着 代理 i 知道。 于 是 ，Kip ^K, 一 KKip 的 含义 为 代理 1 知道 p， 但 知 
道 代理 2 不 知道 他 知道 。 

我 们 还 有 模 态 连接 词 Fe， 这 里 6 是 4 的 任意 子 集 。 公 式 Eup 指 组 6 中 的 每 个 代理 都 知 
Šp, WR G=|1, 2, =, n}, 那么 Ecp 等 价 于 玉 P 和 ^RP^… 和 天 p。 假 定 连 接 词 的 绑 定 优 
先 级 与 5. 2. 1 节 所 示 类 似 。 

约定 5. 22 如 果 把 每 个 模 态 词 K,、E。 MC, BVO, KT4 的 绑 定 优先 级 与 基本 模 态 逻 
辑 相同 。 

人 们 可 能 认为 $ 不 能 比 每 个 人 都 知道 它 再 被 更 广泛 地 知道 了 ， 但 事实 并 非 如 此 。 例 如 ， 
每 个 人 都 知道 $， 但 他 们 可 能 不 知道 他 们 全 知道 它 。 如 果 假 定 $ 为 一 个 秘密 ， 可 能 你 和 你 的 
朋友 都 知道 它 ， 但 你 的 朋友 不 知道 你 知道 它 ， 并 且 你 也 不 知道 你 的 朋友 知道 它 。 于 是 ， 
cEcg 是 比 Ep 更 强 的 知识 状态 ， 而 EEE GER, Rid BC 中 的 公共 知识 ， 记 为 
Ce 四， 如 果 每 个 人 都 知道 $， 而 且 每 个 人 都 知道 每 个 人 知道 它 ; 而 且 每 个 人 都 知道 每 个 人 知 
道 每 个 人 知道 它 ; 等 等 。 因 此 ， 我 们 可 以 将 Cep 看 作 一 个 无 限 合 取 

Eco ^ EE. A EEE, At 

然而 ， 因 为 我 们 的 逻辑 只 能 有 限 合 取 ， 不 能 把 C。 归结 为 逻辑 中 已 有 的 东西 。 因 此 ， 我 们 必 
须 通 过 其 语义 来 表达 Ce 的 无 限 方面 ， 把 它 作为 一 个 附加 的 模 态 连接 词 保留 。 最 后 ，Ded 意 
味 着 由 的 知识 在 组 G 中 是 分 布 式 的 ; 尽管 6 中 可 能 没 人 知道 它 ， 但 如 果 将 他 们 集合 到 一 起 ， 
并 且 将 分 布 于 其 间 的 关于 # 的 信息 组 合 起 来 ， 他 们 可 以 得 到 它 。 

定义 5.23 多 模 态 逻辑 KT45" 中 的 公式 $ 由 如 下 语法 定义 : 

p= Tipl (~) 1 (646)! (bv 4) 1 ($>)! (be) | 
(Kip) | (Ech) | (Cep) | (Ded) 

其 中 p 是 任意 原子 公式 ,ie AA CSA, MRSSE, AC, MD, HABE PREH E, 
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CHD, 

比较 这 个 定义 与 定义 5.1。 代 之 口 ， 有 若干 个 模 态 词 K,， 并 且 对 每 个 GSA, AEs, Ce 
和 D。。 实 际 上 很 快 就 会 看 到 ， 所 有 这 些 连接 词 对 ^ 满 足 分 配 律 ， 而 对 v 不 满足 ， 将 此 与 5.2 
节 关 于 等 价 的 讨论 比较 ， 所 有 这 些 连接 词 都 可 以 被 视 为 “ 似 和 矩形 ”而 不 是 “ 似 菱形 ”。 在 这 种 
语言 中 ， 这 些 连 接 词 的 “ 似 菱形 "对 应 不 明显 出 现 ， 但 当然 可 以 用 否定 来 得 到 ， 即 ~ K, o, -~ 
C, 一 等 等 。 

定义 5.24 具有 个 代理 的 集合 4 的 多 模 态 逻 辑 KT45" 的 一 个 模型 M =(W, (Ricas 
L) 由 三 项 内 容 确 定 : 

1. 可 能 世界 的 集合 W; 

2. 对 每 个 ie A, AW EWEEK R(R,SVxW), KHER, 

3. 一 个 标记 函数 上 L: W>P(atoms), 

将 此 与 定义 5.3 作 比 较 。 区 别 在 于 : 代替 只 有 一 个 可 达 关 系 ， 现 在 有 一 族 ，.4 中 的 每 个 
代理 都 有 一 个 ; 而 且 假 设 可 达 关 系 是 等 价 关 系 。 

我 们 在 KT45" 的 Kripke 模型 图 示 中 探讨 R, 的 这 些 性 质 。 例 如 ，KT45 的 一 个 世界 集合 
H Åt, Xa, Xa, Xas Xs, xel 的 模型 如 图 5-13 所 示 。 各 世界 间 的 关联 必须 用 可 达 关 系 的 名 称 
标记 ， 因 为 我 们 有 若干 个 关系 。 例 如 ，x， 和 x, 通过 R, 相 
X, 而 x, 和 xs 既 通 过 R, 又 通过 R, 相关 。 我 们 不 再 要 求 在 
连 线 上 标 出 箭头 。 因 为 我 们 知道 这 些 关 系 是 对 称 的 ， 所 以 关 
联 是 双向 的 。 此 外 ， 这 些 关 系 还 是 自 反 的 ， 因 此 对 所 有 关 
系 ， 所 有 世界 上 都 应 该 有 如 图 5-11 bx, 上 那样 的 回路 。 我 
们 可 以 从 图 中 省 略 掉 这 些 回路 ， 因 为 我 们 不 必 区 分 哪些 世界 
是 自 相 关 的 ， 哪 些 不 是 。 图 5-13 一 个 KT45" 模型 

定义 5.25 He KT45" 的 一 个 模型 M = (WW，(R,),.,， (对 于 n=3) 
已 和 一 个 世界 ce W. RTM 由 进行 结构 归纳 ， 通 过 满足 关系 xl 由 来 定义 公式 由 在 世界 x 
中 何 时 为 真 : 

xl p 当 且 仅 当 pe L(x) 

alta p 4AM x Iho 

xip ^ay HHRH xl- p Ax lky 

xl oyy 当 且 仅 当 xIF pÈ xI y 

xi- ood SAN4RB xip, RA xI $ 

xl Ky SHENAY yEeW, R(x, y) AW ylk y 

xik Ep 当 且 仅 当 对 每 个 ze C，x it Ky 

alk Cop 当 且 仅 当 对 每 个 5>1， 有 >* 小 Eep, Boh Es BH E, Ep Ec kK 

“iF Doy 当 且 仅 当 对 每 个 ye 到， 只 要 对 所 有 ie C, AR(x, y), RA yI yo 
同样 ， 如 果 要 强调 模型 At， 则 写 A(，x 小 $o 

将 此 定义 与 定义 5.4 作 比较 。 布 尔 联结 词 的 情形 与 基本 模 态 逻辑 相同 。 每 个 天 的 作为 
像 一 个 口 ， 但 要 参照 它 自己 的 可 达 关 系 R,。 像 前 面 讲 过 的 ， 没 有 的 等 价 ， 但 我 们 可 把 它们 
ERX Ko o BRE, HK, REM, WC, HE, 来 定义 。 

对 具有 单个 可 达 关 系 的 基本 模 态 逻辑 的 许多 结果 在 这 种 具有 多 个 可 达 关 系 的 更 一 般 框架 
下 也 成 立 。 总 结 如 下 : 


x} 
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© 模 态 逻辑 KT45" 的 标 架 大 = ( 丈 ，(Ri)i。4) 是 世界 的 集合 W, WEP ic A，W 上 的 等 价 关 系 R,。 
。 称 KT45" 的 标 架 下 = (下 ，(R,;);。4) 使 8 有效， 如 果 对 每 个 标记 应 数 L: WW 一 P(Atoms) 和 每 个 we 
W, RITEM, wle R, 其 中 AM = (WW，(R,);。4， 上 )。 此 时 ， 我 们 说 FE p 成立。 

下 述 定理 对 于 回 管 涉及 和 C 的 公式 的 问题 是 有 用 的 。 设 AM = (下 ，(R,),.4， 工 ) 是 
KT45" 的 一 个 模型 ， 且 x，ye 丈 。 我 们 说 y Ac 出 发 是 并 步 C 可 达 的 ， 如 果 有 w, w, 0, 
w,,EW RG 中 的 ly, b, 7, iy 使 得 

aR, w, R wt Ri Wa RY 
含义 为 R, (x, wi ) ， Ri (w, w), 0, R, (w,, 7)。 我 们 也 说 y 从 x 是 G6 可 达 的 ， 如 果 存 
ERT k, ERCE kH 6 可 达 的 。 

定理 5. 26 

Lx lH Et 当 且 仅 当 对 所 有 从 x 出 发 上 步 G 可 达 的 y， 有 yi do 

2.x 人 Cop 当 且 仅 当 对 所 有 从 xx 出 发 GC 可 达 的 y， 有 7| 由。 

证 明 

1. 首先 ， 假设 对 所 有 从 x 出 发 上 步 6 可 达到 的 y， 有 YI 由。 我们 将 证 明 x | Eg 成 立 。 只 需 证 明 对 任 
Ti, 记 ，… eG «lb K K K o RB. ER, i, e, i eG 及 任意 的 wi w,，…， wma My, 
使 得 存在 一 条 形 如 oR, w R wR, w Ry 的 路 径 。 因 为 y BM a MRE CWA, A yI 
>, RU x lF K KeK b, RERIN o 

反之 , BH xl Eb MY, Hy 是 从 * 出 发 在 大 步 6 可 达 的 。 我 们 必须 证 明 y 外 由 成 立 。 由 6 可 达 性 ， 
TAR i, b, +, i, A xl Esp AW x | K KeK p, ERTA yik 由 。 

2. 这 个 论证 是 类 似 的 。 

KT45" 中 的 一 些 有 效 公式 ”公式 和 对 连接 词 K,，E。，C。 MD, 成 立 ， 即 我 们 有 相应 的 
公式 模式 : ， 

Kb K (o>) > Ky 

Ech ^ E,(@—) > Eo 
Cep ^ C(b —> y) — Cop 
Deh ^ Delo —> p) > Deb. 

这 意味 着 这 些 不 同 “ 层 次 ”的 知识 在 逻辑 推理 下 封闭 的 。 例 如 ， 如 果 某 些 事实 是 公共 知 
识 ， 且 某 个 其 他 事实 可 由 它们 逻辑 地 推导 ， 那 么 该 事实 也 是 公共 知识 。 

E,C 和 DD 是 “ 似 和 矩形 ”的 连接 词 ， 它 们 对 一 些 可 达 关 系 来 全 称 量词 化 。 也 就 是 说 ， 可 以 
由 关系 R 来 定义 关系 Re Ro, AIR 如下: 

Re.(x,y) 当 且 仅 当 对 某 个 ie G,R,(x,y) 

Rb.(x,y) SER HE ie G,R,(x,y) 

R,(4,y) 当 且 仅 当 ”对 每 个 大 > 1 ,Re (x,7) 
从 此 得 到 Es, De MC, 分 别 关于 可 达 关 系 Rec Ro, AR, WE KAR, 

其 他 有 效 公式 的 情况 如 何 呢 ? 因为 假设 关系 R 是 等 价 关系 ， 可 以 得 到 定理 $. 13 和 表 5-12 

的 多 模 态 类 比 ， 即 在 KT45" 中 ， 对 每 个 代理 I, 下列 公 式 是 有 效 的 ， 
Kip > 天 ;天 ,中 肯定 内 省 
TKO 一 Kin Ko 否定 内 省 
Kip > $ 真 。 
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这 些 公 式 对 De 也 成 立 ， 因 为 Roc 也 是 等 价 关 系 ， 但 这 些 并 不 能 自动 推广 到 关于 E。 和 C6。 
PHA, Ecp>EEcp 不 是 有 效 的 。 如 果 它 是 有 效 的 ， 它 将 蕴涵 公共 知识 仅 是 人 所 共 知 的 公共 
知识 。 模 式 ” 有 Be 一 BEen End 也 不 是 有 效 的 。 这 些 公式 不 真 的 原因 可 以 归结 为 Rec 不 必 是 等 
价 关 系 的 事实 ， 即 使 每 个 R; 都 是 等 价 关 系 。 然 而 ， 只 要 CAD, R ARR, 因此 Bed 一 
中 是 有 效 的 。 若 6 = 名 ， 则 Be 成立， 即使 由 是 假 的 。 

因为 Re. 是 等 价 关 系 ， 上 面 的 公式 T、4 和 5 关于 Ce 确实 是 成 立 的 ， 尽 管 第 三 个 公式 仍 
需要 条 件 CAD, 


5.5.3 KT45" 的 自然 演绎 


KT45 证 明 系 统 容易 扩展 到 KT45"; 但 为 了 简化 ， 我 们 省 略 了 涉及 连接 词 D 的 部 分 。 

1. 现在 对 不 同 的 模 态 连接 词 ， 虚 线 框 以 不 同 的 “风格 "出现 ; 我 们 在 虚线 框 的 左上 角 标 出 模 态 词 。 

2. 公理 T, 4 和 5 可 用 于 任何 K;,， 而 公理 4 和 5 可 用 于 C。， 但 不 能 用 于 E, ， 匈 5. 5.2 节 的 讨论 。 

3. 用 规则 CE， 可 以 对 任意 k, H Cep 推导 出 Eid; 或 者 通过 使 用 规则 CK， 对 任意 代理 L, L,e, 
icco HREH KK … 天 由。 严格 地 讲 ， 这 些 规 则 是 此 类 规则 的 整个 集合 ， MAMI, i, oe, i 的 每 个 选 
择 都 对 应 一 个 规则 ， 但 我 们 把 它们 的 全 部 分 别 参考 为 CE 和 CK, 

4. 运用 规则 EK;， 对 任意 ie C， 可 以 由 Ep 推导 出 Koo HA, Kid, AMM KE 可 以 推导 出 Eg。 
”注意 证 明 规则 EK 像 一 个 广义 的 合 取 一 消去 规则 ， 而 KE 则 像 合 取 -- 引 入 规则 。 

图 5-14 总 结 了 KT45" 的 证 明 规 则 。 像 以 前 一 样 ， 可 以 把 规则 K4 和 KS 与 C4 和 C5 看 作 
是 放宽 后 的 关于 将 公式 移入 或 移出 虚线 证 明 框 的 规则 。 因 为 规则 K4 允许 重复 ， 我 们 可 以 
换个 思路 将 其 理解 为 : 允许 将 以 天 开始 的 公式 移 人 K, 虚线 框 。 类 似 地 ， 规 则 C5 的 效果 是 
允许 将 以 ”Ce 开始 的 公式 移 人 Ce BRE, 














i 1 1 
Ki IEG | Co i 
1 | 1 1 i 1 
| | 1 t 1 | 
1 I 1 | I ! 
1 1 1 
Ø i 9 Ie $ i 
Ke Käi Fad Egi Cod Cgi 
K; E C 
o Ke 4 Ege — st Cge 
1K : l IEG | ‘Ca : | 
! | ' i i 
| $ | | ó | i ¢ 1 
1 . | i 。 1 1 。 1 
1 :_ 1 i 1 
对 每 个 re G, Kid KE Ecp ie€G K, Cag CE 
Ec Ki¢ . Ec... Ec ġ 
Ceo GEG Cgo aCe ¢ 
Ki, -Kib CeCe o Ce-Ce $ 
Ki¢ Kid aK; ¢ 
g KiKi 全 Kokig 


图 5-14 KT45" 的 自然 演绎 规则 


对 虚线 框 的 一 种 直观 理解 是 : 其 内 的 公式 是 所 考虑 代理 所 知道 的 。 当 打开 一 个 K, 虚线 
框 时 ， 你 在 考虑 代理 ;知道 些 什么 。 相 当 直 观 的 是 ， 一 个 通常 的 公式 $ 不 能 被 带 进 这 样 一 个 
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虚线 框 ， 因 为 仅 有 为 真 并 不 意味 着 代理 i 知道 它 。 特 别 地 ， 如 果 规 则 的 前 提 之 一 处 于 你 正 
在 工作 的 虚线 框 之 外 ， 你 就 不 能 使 用 规则 - i。 

观察 前 提 中 C6 的 力量 : 无 论 矩形 框 嵌 套 有 多 深 ， 通 过 运用 规则 CK 和 Kie， 都 可 以 将 由 
带 入 任何 虚线 框 内 。 另 一 方面 ， 规 则 Eo 保证 收 可 以 带 人 向 套 次 数 大 上 的 任何 虚线 框 内 。 将 
此 与 定理 $. 26 作 比 较 。 

例 5.27 我 们 证 明 矢 列 SC(p y 4), K, (Kp Y Rnp)， 天 KFRKP 在 模 态 逻辑 
KT45" 中 是 有 效 的 。 其 含义 是 : MR pv 是 公共 知识 ， 并 且 代理 1 知道 代理 2 知道 是 否 为 
Pp， 还 知道 代理 2 不 知道 HH, WARM 1 知道 p 为 真 。 一 个 证 明 参见 图 5-15。 在 第 12 
4, RIH- p 和 p v 9 推导 出 9。 与 其 证 明 命题 逻辑 中 的 全 部 推导 ( 那 不 是 这 里 关注 的 焦 
点 ) ， 我 们 宁愿 写 *prop" 来 概括 命题 逻辑 中 推导 的 论据 。 


























I CCPV9) 前 提 
2 K\(KypV Krp) 前 提 
3 天 一 K29 前 提 
4 K,Ko(pVq) CK1 

si kova TTT Ker 

6 KpV Ky-p Kie 2 ! 

7 i -Kaq Kye 3 ! 

EP i i 

Kæ 8 i i 

Kæ 5 | 

4d prop 9,10 __ I]! 

Ki 9-11 

ae 12,7 

Le 13 | | 

1 

Ve 6,8-14,8-14 
 Kisis 





图 5-15  C(pvq), K,(K,p V K,7 p), K= K,q 上 Kip 的 证 明 


5.5.4 例子 的 形式 化 


我 们 已 构建 了 模 态 逻辑 KT45" ， 可 以 将 注意 力 转向 如 何 用 这 种 逻辑 表示 智者 难题 和 泥 孩 
难题 。 遗 憾 的 是 ， 尽 管 已 经 很 深刻 ， 但 要 切中 这 些 例子 的 全 部 细微 差别 ， 我 们 的 逻辑 还 显得 
太 简 单 。 昌 然 有 连接 词 表示 不 同 代理 所 拥有 知识 的 不 同 项 目 ， 但 它 没有 时 态 方面 的 词 ， 所 以 
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不 能 直接 贴切 地 表示 代理 知识 随时 间 推 进而 变化 。 我 们 通过 考虑 在 固定 时 间 内 的 若干 个 “ 快 
照 ”(snapshot) 来 克服 这 一 局 限 性 。 
智者 谜 题 ”回顾 有 三 个 ， 其 公共 知识 是 有 三 顶 红 帽子 和 两 顶 白 帽子 。 国 王 给 每 个 智者 头 
上 戴 一 顶 帽 子 ， 并 依次 问 他 们 是 理 知 道 自 己 头 上 帽子 的 颜色 (他 们 不 能 看 到 自己 头 上 的 帽 
子 ) 。 假 设 第 一 人 说 他 不 知道 ; 然后 第 二 人 说 他 不 知道 。 我 们 想 证 明 ， 无 论 帽子 如 何 分 配 ， 
现在 第 三 个 人 都 知道 他 的 帽子 是 红色 的 。 
设 p; 为 第 i 人 戴 一 顶 红 帽子 ， 故 -p; 意味 着 第 i 人 戴 一 顶 白 帽子 。 设 荆 是 下 列 公式 
集合 
1C(p， VP YP), 
C(p, => K,p,) ,C(7> p, >K p), 
C(p, > K3p,) ,C(> p, 一 天 nm p,), 
C(p, > Kipa), Co Pa > Ko p,), 
C(p, — Kpa), CCo p > K,> p,), 
C(p, > Kip), C P 一天” pi), 


CCp > K,p,) ,Cn ps > K,> p;) } 
这 对 应 于 初始 设置 ， 公 共 知 识 是 有 一 顶 帽 子 一 定 是 红 的 ， 并 且 每 人 都 能 看 见 别 人 帽子 的 
颜色 。 

第 一 人 声称 不 知道 他 帽子 的 颜色 ， 相 当 于 公式 

CCa Kip ^n Kin pi) 
第 二 人 的 情形 是 类 似 的 。 
形式 化 智者 问题 的 朴素 尝试 可 能 会 像 这 样 进行 : 我 们 不 过 要 证 明 
Tr, C(> Kp ^n Koap), CO Kp ^n K,7 p,) HK;p, 
即 : 如 果 工 为 真 ， 且 前 两 个 人 已 经 做 了 声明 ， 那 么 第 三 个 人 知道 他 的 帽子 是 红色 的 。 然 而 ， 
这 并 未 抓 住 在 两 个 声明 之 间 时 间 推 移 的 事实 。 在 第 一 人 声明 后 ， 事 实 Cn Kp 为 真 并 不 意味 
着 在 接 下 来 的 某 个 声明 之 后 它 为 真 。 例 如 ， 如 果 某 人 宣布 p, W Cp, EHH. 

这 样 形式 化 不 正确 的 原因 是 : 尽管 知识 随时 间 增 长 ， 但 缺乏 知识 却 不 随时 间 增 长 。 如 果 
RAE p, WARE 由 不 改变 ) 在 下 一 个 时 间 点 我 将 知道 它 ; 但 如 果 我 不 知道 6， 那么 可 能 
在 下 一 个 时 间 点 我 的 确 知道 它 ， 因 为 我 可 以 获取 更 多 的 知识 。 

为 了 正确 地 形式 化 智者 问题 ， 需 要 将 其 分 为 两 个 推导 ， 对 应 每 个 声明 都 有 一 个 。 当 第 一 
人 声明 他 不 知道 他 帽子 的 颜色 时 ， 某 个 肯定 公式 由 变 为 公共 知识 。 我 们 的 非 形 式 推理 解释 
了 所 有 的 人 随后 都 可 以 排除 RWW 的 情形 ， 在 已 知 p, Yp yp 下 ， 这 使 得 p, v p, 成 为 他 们 
MAHAR, Fit, ORE p, v p;， 我 们 需 证 明 推 导 : 

LT, C(> Kipi A> Ko pi) FC(p, Y ps) 

这 个 矢 列 的 一 个 证 明 可 在 图 5-16 中 找到 。 

AA p, Yp 是 一 个 肯定 公式 ， 它 随时 间 保 持 不 变 ， 并 且 可 用 于 与 第 二 个 声明 作 合 取 来 
证 明 所 需要 的 结论 : 

推导 2. 工 C(p, YP), C Kp, A> 天 P2) 上 Ra:P， 

这 个 方法 需要 一 些 细心 的 思考 : 已 知 一 个 否定 信息 的 声明 ,诸如 有 人 宣称 他 不 知道 他 幅 
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子 是 什么 颜色 ， 我 们 需要 看 由 此 可 推导 出 什么 样 的 肯定 知识 公式 ， 而且 这 样 的 新 知识 必须 足 


以 为 下 一 轮 求 解难 题 能 取得 更 多 的 进展 。 
只 要 所 有 参与 证 明 规则 都 记录 下 来 了 ， 像 图 5-16 中 11 ~ 16 行 那样 的 常规 证 明 片 段 可 以 


缩减 成 一 步 。 得 到 的 更 简短 表示 如 图 5-17 所 示 。 



























prop 16, 17 


1 C( pi VPY ps) 前 提 

2 CCprKp) 前 提 , (7 

3 CC 一 万 -加 前 提 , OD) 

4 C-Kıpı 前 提 

5 CKP 前 提 

6 fc | 

7 =pa/\ ap; 假设 

8 -了 2 一 天 1 一 D2 Ce 30, /=(2, 1) 

9 “ps Kp Ce 3(i,/)=(3, 1) 

10 Kiop ^K p prop 7, 8, 9 

11 Kip Ae, 10 

12 Ky-p; Ae, 10 

BR 

14 ' “pr K,e 11 ! 

15 ! -p3 Kie 12 | 

16 | TRAD Ai 14, 15 ! 

17 ! PiV P2V Ps Ce 1 ! 
J 











20 
21 

22 XORA Ps) ~i7-21 
23 PV D3 

24 C(p2V p3) Ci 6-23 


R 5-16 关于 智者 难题 的 矢 列 “ 推 导 1” 的 证 明 


在 图 5-16 中 ,注意 第 2 行 和 第 5 行 的 前 提 并 没有 使 用 。 第 2 行 和 第 3 行 的 前 提 对 给 定 
值 i 和 j，izj， 代 表 任 意 公式 ; 这 解释 了 第 8 行 的 推导 。 在 图 5-18 中 ， 再 次 注意 到 第 1 行 和 
第 5 行 的 前 提 没 有 用 到 。 还 注意 到 公理 T 与 CK 的 合 取 人 允许 由 任何 Cg 推导 出 p, RERIN 
必须 把 它 分 成 两 个 分 离 的 步骤 (在 第 16 行 和 17 行 ) 。 实际 实现 可 能 允许 混合 规则 ， 从 而 这 
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1 C(pi VPV p3) 前 提 

2 C( pK pò 前 提 , GN) 

3 Cop Kiop) 前 提 , GAS) 

4 C-Kyp; 前 提 

5 CKP 前 提 

ae | 

7 PAP 假设 

8 “pr Kp Ce 3i, )=(2, 1) 

9 P> Kinps Ce 34, )=G3, 1) 

10 Kip AK op prop 7, 8, 9 

1 
i 1 

12 ! “PAP Ae, Kie, Ai ! 

13 Pi V PV P3 Ce 1 

"Jp a O Popi | 

15 Kip Kii 11-14 

16 “Kip, Ce 4 

17 4 ~ 15, 16 

18 i OPRA TP) ~ i7-17 

19 PV P3 prop 18 

20 CPV P3) Ci 6-19 


图 5-17 图 5-16 中 证 明 的 一 个 更 紧 姿 表示 


些 推理 压缩 成 一 步 。 

HRAM “假设 有 nn 个 孩子 ，p, 表示 第 :个 孩子 的 前 额 上 有 泥 。 我 们 考虑 情景 2， 父 亲 
宣布 孩子 中 的 一 个 沾 泥 了 。 与 智者 的 情形 相似 ， 公 共 知 识 是 每 个 孩子 可 以 看 见 其 他 孩子 ， 因 
此 他 知道 其 他 人 的 额头 上 是 否 沾 泥 。 于 是 ， 我 们 有 C(pi1 一 Kp1)， 这 是 说 公共 知识 是 : 如 果 
孩子 1 有 泥 ， 那 么 孩子 2 知道 这 一 点 ， 并且 CO pi 一 ,~ p,) bik, RT BARE: 

C(p, Y Pp, YY Pa) 
人 C(p, 一 pi) 
人 C(- P; >Kan Pi) 


注意 A Wij 是 所 有 公式 yi 的 有 限 合 取 的 缩写 ,其 中 i 不 向 于 j。 设 6 是 孩子 的 任意 集 
合 ， 需 要 如 下 形式 的 公式 
as = 人 P; A 人 aP; 


i¢G 
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公式 ae 恰好 叙述 了 C 中 的 孩子 前 额 沾 了 泥 。 

假设 上 =1， 即 一 个 孩子 前 额 上 沾 泥 。 证 明 孩 子 知道 他 就 是 那个 沾 泥 的 。 我 们 证 明 下 列 
推导 。 

EELT, a, FKp,o 

这 是 说 ， 攻 实际 情况 只 有 一 个 称 为 i 的 孩子 沾 沁 ， 则 那个 孩子 将 知道 这 一 点 。 我 们 的 证 
明 与 直觉 遵循 相间 的 思路 : i 看 到 没有 其 他 孩子 有 泥 ， 但 知道 至 少 有 一 个 孩子 有 泥 ， 所 以 知 
道 前 额 沾 泥 的 孩子 一 定 是 他 自己 。 该 证 明 在 图 5-19 给 出 。 

注意 ， 注 释 “ 对 每 个 j 寺 2” 意味 着 对 任何 这 样 的 j 提供 该 论证 。 于 是 ， 可 以 形成 隐 含 在 第 
10 行 推断 中 的 所 有 这 些 推断 的 合 取 。 






























1 C(p1Vp2 Vp3) 前 提 
2 C(p-K,p) 前 提 , Aj) 
3 Cop K >p) 前 提 (7 
4 CrK2p2 前 提 
5 CKP 前 提 
6 CV P3) 前 提 
[kK 7 “Te Z7 
7 1 
l 1 
8 | P3 假设 | 
1 
9 | px Kap CK 30, )=(, 2) 
| 1 
1 
10 | 天 2 一 Ps3 —e 98 ! 
| _- J 
ll tji 
1 用 2 i 
1 
12 ad! -ps Kye, 10 
an 
Bili VPs Ce 6 | 
Iji 
14 | a Po o o _ _Pprop 12, 13 8 
{ 
15 | Ep Kyi 11-14 | 
1 
16 ! K;~Kpp2 CK 4, 对 每 个 i ! 
17 1 “Kap KT 16 ! 
| . 
1 
18 | + se 15,17 
I 
1 
19 | Ps PBC 8-18 | 
20 K3p; Kyi 7-19 


图 5-18 关于 智者 难题 的 矢 列 “ 推 导 2” 的 证 明 
如 果 不 只 一 个 孩子 沾 泥 怎么 办 ? 此 时 ， 在 第 一 次 并 行 轮回 中 ， 孩 子 们 都 宣称 他 们 不 
知道 他 们 是 否 沾 泥 ， 对 应 于 公式 
A= C(> Kp, ^n Kap) a ACO Kp, ^n Ko p,) 
在 智者 的 例子 中 我 们 已 看 到 将 与 前 提 T 一 道 宣称 4 是 危险 的 ， 因 为 4 为 真 ， 有 关于 和 孩子 们 
的 知识 的 否定 断言 ， 不 能 保证 其 真 值 随 时 间 保 持 不 变 。 所 以 我们 寻求 某 个 肯定 公式 表示 孩 
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1 PIATP2A :APiN .A Pn a 

2 CPV V Ph) “rH 

3. `P; Ael, RWI 

4 pkip; 在 [中 ,对 每 个 7 去; 

5 Krp; 一 e 4,3, JETA 
6 Ki( iV V Pa) CK 2 

pt KO OS 
8 ! DiV + VPn Ke 6 ! 
9 1 全 Ke SEA | 
ne Pop 98 | 
11 Kip; Ki 


图 5-19 HARRERA HEF 1” 的 证 明 
子 们 由 听 到 的 宜 称 所 学 到 的 东西 。 就 像 在 智者 的 例子 中 ， 这 个 公式 隐 含 在 5.5.1 节 中 关于 泥 
孩 难题 的 非 形式 化 推理 中 ， 如 果 公 共 知 识 是 至 少 有 上 个 孩子 沾 泥 ， 那 么 在 形 为 4 的 一 次 声明 
后 ， 公 共 知 识 是 至 少 有 +1 个 孩子 沾 泥 。 
因此 ， 在 第 一 次 声明 4 后 ， 前 提 的 集合 是 
工 ， 人 Cn aja 


Isign 


这 是 工 加 上 沾 泥 孩 子 的 集合 不 是 单 点 集 这 个 公共 知识 。 
在 第 二 次 声明 4 后 ， 前 提 集 合 变 为 
T, A C7 al， A Cn Qi 


我 们 可 以 将 其 写 为 
T, 人 Cx Qe 


IG <2 


请 尝试 仔细 地 理解 记号 : 
ae 站 泥 孩 子 的 集合 恰好 是 集合 C 
7 ac 沾 泥 孩子 的 集合 是 某 个 其 他 异 于 C 的 集合 


人 -a。 沾 泥 孩 子 的 集合 元 素 个 数 大 于 有 


IGI 


对 应 于 第 二 轮 的 推导 是 : 
TCC A ao) ,nF A Ke, 其 中 |H|=3 
对 应 第 不 轮 的 推导 是 ; 
推导 2.T，C( A 2 aco), as 上 八 Kp,, 其 中 |H|=k+1。 


请 尝试 仔细 地 理解 这 个 矢 列 所 说 的 内 容 。“ 如 果 工 中 的 所 有 内 容 都 是 真 的 ， 且 公共 知识 
是 沾 泥 孩子 集合 的 元 素 个 数 不 小 于 等 于 下， 假如 实际 上 是 上 +1 个 元 素 ， 那 么 这 大 +1 个 孩子 
中 的 每 一 个 都 能 推断 出 他 们 沾 泥 了 ”。 注 意 这 和 与 旱 些 时 候 在 文中 给 出 的 直觉 描述 是 吻合 的 。 
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为 证 明 推 导 2， 任 取 ;ie 互 。 只 要 证 明 
T, C( 人 7 ag) ,an LK, P: 


有 效 就 足够 了 ， 因 为 ^ i 对 所 有 i 值 的 反复 使 用 给 出 推导 2 A — PE, CEH- { 计 , 证 
BAT, CC” ac), ay Kp, 的 有 效 性 如 图 5-20 所 示 。 请 研究 这 个 证 明 的 每 个 细节 ， 理 解 它 是 
如 何 遵循 5. 5. 1 节 所 采取 的 非 形 式 化 证 明 步 骤 的 。 
图 5-20 中 证 明 的 第 14 行 顺序 地 运用 ^ i 的 若干 个 实例 ， 这 是 合法 步骤 ， 因 为 对 各 自 集 
合 中 的 “每 个 ”元 素 ，11 ~ 13 行 中 的 公式 已 经 得 到 证 明 。 
前 提 











1 QH 
前 提 , 因为 |G| 志 
2 Ca 
1, 对 每 个 EG 
3 p Ael, 对 每 个 / 
每 个 kg¢ H 
4 -pt Ael, 对 每 个 在 
6 Kp, 一 。 5,4, 对 每 个 EG 
7 Pi Kp 对 每 个 tg 在 T 中 
8 KP 一 67,4, 对 每 个 巡 H 
9 Krag CK2 
本 一 l 
10 | K; 
1 
l 
11 |! 万 Ke 6jEG) | 
i] | 
12 | -Pi Kie 8k EH) 
1 1 
13 | 假设 
t i 
14 | Ai 11, 12, 13 ! 
i | 
15 1 1 
1 1 
1 1 
16 | | 
l 上 
l 
17 i 1 
1 1 
18 1 1 
t 
19 Kipi Kii 10-18 


图 5-20 T, C(-a,), an 上 Kip; 的 证 明 ， 用 于 证 明 泥 孩 谜 题 的 < 推导 2” 


5.6 习题 
练习 5. 1 


1 思考 一 下 当今 带 有 动态 通信 和 网 络 拓扑 的 高 度 分 布 式 计算 环境 。 提 出 几 种 适用 于 这 种 环 
境 陈 述 的 真 值 模式 。 
2. 设 人 是 一 阶 逻辑 的 模型 ， 由 遍历 一 阶 逻 辑 公 式 。 讨 论 在 什么 意义 下 ， 形 如 “公式 $ 在 模型 
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MPAA” 的 陈述 表达 了 一 种 真 值 模式 。 





练习 5.2 


1. 


w N 


考虑 图 5-5 描述 的 Kripke 模型 人 1。 
(a) 判 定 下 列 各 式 是 否 成 立 : 
i. a lk p 
i. a l-On q 
“iti. a IF g 
"iv. a IF OO 4 
v.a l- p 
“via lOS q 
vii. c IF OT 
viii. d I- © T 
ix. d -OO g 
“x.c 上 口上 
xi. b -OL 
xi. al- oolp^qg)^OT 
(b) 为 下 列 各 式 找到 一 个 满足 它 的 世界 : 
i O7 P^DD” p 
ii. OG ^ Og 
"iii, Op VOq 
"iv. O(p VO q) 
v. Op YO" p 
vi. O(p Ya p) 
(c) 对 前 一 个 题目 的 每 个 公式 ， 找 一 个 不 满足 该 公式 的 世界 。 


. 找 出 一 个 Kripke 模型 M 和 公式 模式 ， 它 在 M 中 不 满足 但 在 M 中 有 真 的 实例 。 
.考虑 Kripke 模型 MM =(W, R, L), 其 中 W= {a, b, c, d, e}, R={(a, c), (a, e), 


(b, a), (b, c), (d, e), (e, a)}, HL(a) ={p}, L(b) ={p, q}, L(e) ={p, ql, 
L(d) ={q|/ H L(e) =O. 

(a) 画 出 人 M 的 图 。 

(b) 研 究 练习 5.2 的 1(b) 中 哪些 公式 有 满足 它 的 世界 。 


. (a) 为 判断 p- 口 Og 在 一 个 模型 中 是 否 真 ， 你 必须 做 些 什 么 ? 
"(b) 找 出 使 上 述 公式 在 其 为 真 的 模型 以 及 在 其 为 假 的 模型 。 
. 对 下 列 每 对 公式 ， 能 否 找 到 可 区 分 它们 ( 即 一 个 为 真一 个 为 假 ) 的 模型 和 世界 ? 此 时 ， 你 


要 证 明 它 们 不 能 互相 导出 。 如 果 你 做 不 到 ， 可 能 意味 着 这 对 公式 是 等 价 的 。 验 证 你 的 
答案 。 

(a) 口 p MOD P 

(b)O7 p Al-Op 

(c)OQGP^9) 和 口 P^ 口 9 


“(d)o(p^g) 和 Op 和 ^Og 
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(e)O(pv q)MOpvog 


"(1) O(pv q) Mop vog 


(g)O(p-q) 和 口 pO gq 
(h) OT AMT 
(G)OT AIT - 
(pOLML 


- 证 明基 本 模 态 逻辑 的 下 列 公 式 是 有 效 的 : 
“(Old rp eo(Od OY) 


(b) Old Vv Pol Ob VOW) 


“(c) QLOT 


(d)O LOL 
(e)OT>(Nb>O6) 


. 考察 定义 5.4。 我 们 曾经 通过 对 由 进行 结构 归纳 来 定义 *Ih 由 。 这 真正 确 吗 ? 注意 第 二 个 


关系 xl 的 隐 式 定义 。 为 什么 这 个 定义 仍然 是 正确 的 ， 在 什么 意义 上 它 仍 依赖 于 结构 
归纳 ? 


练习 5. 3 


1. 


Ww 


aN 


对 于 表 5-7 中 口 的 哪 种 解释 ， 下 列 公式 是 有 效 的 ? 


“(a) (670 $)—($— 06) 


(b) (0 6>(¢ 400 $ 49) )-((0 o>(6 4000 6) )4((O¢>0¢)) 


. 动态 逻辑 : 设 己 在 第 4 章 中 的 核心 语言 程序 上 遍历 。 对 所 有 这 样 的 程序 P， 考 虑 一 种 模 


BEB, HRSA TEP) 和 [P]。 如 定义 4.3， 关 于 存储 ! 为 这 样 的 公式 赋值 。 关 系 
LH CP) 中 成 立 ， 当 且 仅 当 程序 P 有 某 个 执行 开始 于 存储 1 且 终 止 于 满足 $ 的 一 个 存储 。 


(a) 已 知 -《P) 一 等 于 [P] ,说明 [P] 的 意义 。 


(b) 称 > 是 有 效 的 当 且 仅 当 它 在 所 有 适当 的 存储 / 下 成 立 。 AAR SZ, BERET 
组 的 完全 正确 性 叙述 为 有 效 性 问题 。 


. 对 下 列 所 有 二 元 关系 R， 判 断 5.3.2 节 从 自 反 性 到 完全 性 的 哪些 属性 适用 于 R， 其 中 


R(x，y) 表 示 : 


“(a)x 严格 小 于 y， 其 中 * Ay HG ne] 的 全 体 自然 数 。 


(b)x 整除 7， 其 中 x 和 7 遍历 整数 。 例 如 ，5 整除 15， 而 7 不 能 整除 15。 
(c)x 是 y 的 兄弟 。 


“(d) 存 在 正 实数 a 和 6， 使 得 x 等 于 a yth, Hp eA y 遍历 实数 。 
“4. 证 明 事 实 5. 16。 


5. 通过 对 公式 (5-1) 进 行 结构 归纳 ， 证 明 例 5. 12 第 2 条 所 做 的 非 形式 论断 。 


. 证 明定 理 5. 17。 对 否定 和 模 态 算 子 序列 的 长 度 运 用 数学 归纳 法 。 注 意 : 这 要 求 你 对 最 顶 


层 的 算 子 ， 而 不 是 对 否定 或 模 态 ， 进 行情 形 分 析 。 


- 对 灵 是 自 反 或 传递 的 情形 ， 证 明定 理 5$. 14。 

找 出 一 个 Kripke 模型 ， 其 中 的 所 有 世界 都 满足 ~P v 9， 但 至 少 有 一 个 世界 不 满足 -9 vp; 
. 即 证 明 模 式 一 $9 vy 不 满足 。 

` 下 面 你 会 发 现 命题 逻辑 矢 列 Ho 的 列表 。 不 使 用 规则 PBC, LEM 和 一 ~ e， 是 否 能 证 明 
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它们 。 如 果 不 能 ， 那 么 尝试 构造 一 个 直觉 主义 命题 逻辑 的 模型 M =A(W, R, L), PAH 
一 个 世界 满足 中 的 所 有 公式 ， 但 不 满足 5。 在 假定 合理 性 的 前 提 下 ， 这 保证 所 考虑 的 
矢 列 在 直觉 主义 命题 逻辑 中 没有 证 明 。 
“(a) F(pq) Vv (go—7) 
(b) 证 明 规 则 MT: pg, `q H>p 
(c)> pv q FP—>q 
(d)p>q ->7pvq 
(e) WEHEN e: => p bp 
“(f) 证 明 规 则 一 一 i: p Hopo 
10. ERRA e, LEM 和 PBC 规则 的 命题 逻辑 自然 演绎 规则 关于 直觉 主义 命题 逻辑 的 可 
能 世界 语义 是 可 靠 的 。 这 表明 排除 规则 不 能 由 其 余 规则 导出 ， 为 什么 ? 
11. 将 口 由 解释 为 “代理 Q 相信 由 ”， 解 释 下 列 公式 模式 的 含义 ; 


(a) 口 一 由 
“(b)O $ vO ¢ 
(ec) 口 (由 一 峭 ) ^ 口 $b Oy。 . 
12. 在 表 5-7 的 第 2 行 采用 了 未 来 不 包括 当前 的 约定 。 若 采用 未 来 包含 当前 这 一 更 通用 约定 ， 
该 行 中 的 哪些 公式 模式 被 满足 ? 


13. 考虑 表 5-12 中 的 性 质 。 若 将 口 读 作 如 下 情形 ， 我 们 接受 哪些 性 质 ? 
“(a) 知 识 
(b) 信 和 念 
“(c)“ 将 来 总 如 此 吗 ?” 

14. 找 出 一 个 自 反 、 传 递 ， 但 非 对 称 的 标 架 。 通 过 提供 一 个 适当 的 标记 函数 并 选择 一 个 否决 
poOOp 的 世界 ， 证 明 你 的 标 架 不 会 使 公式 p 一 口 Cp 有 效 。 在 你 的 标 架 中 ， 能 否 找到 
一 个 满足 p 一 口 Op 的 标记 函数 和 世界 ? 

15. 举 出 两 个 欧 几 里 得 标 架 的 例子 ， 即 : 其 可 达 关 系 是 欧 几 里 得 的 以 及 两 个 非 欧 几 里 得 标 架 
的 例子 。 直 观 地 解释 为 什么 Op 一 口 Op 在 前 两 者 中 成 立 ， 而 在 后 两 者 中 不 成 立 。 

16. 对 下 列 每 个 公式 ， 找 出 与 之 对 应 的 R 的 性 质 。 

(a)ġ>0O $ 
“(b) 口 上 
“(c) OO G-0O¢, 

17, 找 出 一 个 公式 ， 其 对 应 性 质 是 稠密 性 : WR R(x, 2) 的 所 有 x, zeW, Beye W, $ 
得 R(x, y)A Ry, z)o 

18. 模 态 逻辑 KD45 用 于 建 模 信念 ， 关 于 公理 格式 D, 4 和 5 见 表 5-12。 
(a) 解 释 其 与 KT45 的 区 别 。 
(b) WERE O p> Op 是 有 效 的 。 用 知识 与 信念 的 术语 讲 ， 此 公式 有 何 意义 ? 
(c) 解 释 为 什么 顺序 性 条 件 与 信念 相关 。 

19. 回顾 定义 5.7。 对 一 种 模 态 逻辑 L， 你 如 何 定义 =,? 


练习 5. 4 


1. 为 基本 模 态 逻辑 K 的 下 列 矢 列 ， 寻 找 自然 演绎 证 明 。 
“(a) Fk O(pq) HO pO g 
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(b) Fk D(pq) 上 Cp 一 29 


*(c) Fy 上 口 (p 一 9) 和 ^ 口 (9 一 站 一 口 (P 一 站) 


(d) FkO(p ^g) FO pra 
(e) kx FOT—>(O p> Op) 


(£) FeO (pq) HO po Og 


(g) beO (pv gq) FOpvOge 


. 为 模 态 逻辑 KT45 中 的 下 列 公式 找 出 自然 演绎 证 明 。 


(a)p 一 口 人 P 
(b)OOpe op 


*(c) O0 peo p 


(d)O(O pO q)vO(O 4—0 p) 
(e)\O( Op-q) ee O(p-O gq). 


. 研究 前 一 个 练习 中 你 所 给 出 的 证 明 ， 看 这 些 公式 模式 中 是 否 在 基本 模 态 逻辑 中 有 效 。 仔 


细 审 视 这 些 证 明 在 哪里 和 如 何 使 用 公理 T， 4 AS, 看 是 否 能 找到 一 个 反例 ， 即 一 个 
Kripke 模型 和 一 个 世界 ， 它 不 满足 该 公式 。 


.提供 一 个 论证 概要 : 证 明基 本 模 态 逻辑 的 自然 演绎 规则 关于 Kripke 结构 的 语义 xihH 由 是 


合理 的 。 


练习 5. 5 


1. 


2. 


3. 


这 个 练习 是 关于 智者 迷 题 的 。 说 明 你 的 结论 。 

(a) 每 个 人 都 被 问 到 :“ 你 知道 你 帽子 的 颜色 吗 ? ”假设 第 一 人 说 “不 ”， 而 第 二 人 说 “是 ”。 
给 定 这 个 信息 ， 结 合 公 共 知 识 ， 能 否 推 断 出 他 帽子 的 颜色 ? 

(b) 我 们 能 否 预测 第 三 人 将 回答 “是 ”还 是 “ 否 ”? 

(c) 若 第 三 人 是 盲人 会 什么 样 ?9 车 第 一 人 是 盲人 呢 ? 

这 个 练习 是 关于 泥 孩 迷 题 的 。 假 设 k=4， 即 孩子 a, b,c 和 4d 的 前 额 上 有 泥 。 解 释 为 什 

么 在 父亲 宣布 之 前 ， 某 人 前 额 上 有 泥 不 是 公共 知识 。 

为 下 列 叙 述 写 出 公式 : 

(a) 代 理 1 知道 p。 

(b) 代 理 1 知道 p 或 g。 


“(c) 代 理 1 知道 p 或 代理 1 知道 g。 


(d) 代 理 1 知道 是 否 p。 
(e) 代 理 1 不 知道 是 否 p 或 g。 
(f) 代 理 1 知道 是 否 代 理 2 知道 p。 


(OREI 知道 是 否 代理 2 知道 是 否 po 


(h) 没 有 人 知道 p。 
(外 不 是 每 个 人 都 知道 是 否 p。 
(j) 每 个 知道 p 的 人 都 知道 9。 


(k) HEARE p 但 不 知道 qo 


(1) 8 A AB RE A A po 
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. 判定 下 列 哪些 公式 在 图 5-13 的 Kripke 模型 中 成 立 ， 并 给 出 理由 : 


(a)x, I- Kip 
(b)x, IF K,(p v q) 
(c)x, Ik Kq 


*(d)x; I- E(p Y q) 


(e)x, Ik Cq 

(f) x, IF Dir aip 
(g)x, IF Di ap 
(h)x, IF 五 一 9 


“(i)a, IF C74 


(Jj) xe IF Cla go 


. 对 下 列 每 个 公式 ， 通 过 找 出 一 个 带 有 不 满足 该 公式 的 世界 的 Kripke 模型 ， 证 明 它 不 是 有 


效 的 。 

(a)E,@-E, Ech 

(b) 7 E,@>E, ~ Echo 

解释 为 什么 这 两 个 Kripke 模型 表明 两 个 等 价 关系 的 并 不 一 定 是 等 价 关 系 。 


“6. 解释 为 什么 CoC ,C.¢b 各 一 Co 一 Ce 7 Ce 中 是 有 效 的 。 
. 证 明定 理 5. 26 的 第 二 部 分 。 
. 回顾 3.7 节 。 是 否 能 在 可 能 世界 的 宕 集 上 指定 一 个 单调 函数 ， 用 于 计算 满足 Ceo 的 世界 


集合 ? 这 是 一 个 最 小 不 动 点 ， 还 是 最 大 不 动 点 ? 还 是 固定 点 ? 


. 使 用 命题 逻辑 的 自然 演绎 规则 判断 下 列 仅 注释 有 “prop” 的 证 明 步 又 。 


(a) 图 5-15 的 第 11 行 。 

(b) 图 5-16 中 证 明 的 第 10、18 和 23 行 。 当 然 这 要 求 三 个 独立 的 证 明 。 
(c) 图 5-18 中 证 明 的 第 14 行 。 

(d) 图 5-19 中 证 明 的 第 10 行 。 


10. 使 用 KT45" 的 自然 演绎 规则 ， 证 明 下 列 有 效 性 : 


11. 


(a) K,(p 4 q) Kip 4 K, q 

(b)C(p ^q) Cp ^ Cq 

* (c) K;Cp> Cp 

(d)C K,pCp 

"(e) 7 6 >K, 一 天 中。 

用 知识 的 术语 解释 这 个 公式 的 含义 。 你 相信 它 吗 ? 

(f) = 中 一 天天 一 K, K, 中 

“(g) 7K, 一 天 中 + 天 | 中。 

为 智者 问题 的 简化 版 本 做 出 自然 演绎 证 明 : 有 两 个 智者 ， 如 常 ， 他 们 能 看 见 彼此 的 幅 
FT, 但 看 不 到 自己 的 。 公 共 知 识 是 仅 有 可 用 的 一 顶 白 色 帽 子 和 两 顶 红 色 帆 子 。 因 此 ， 至 
少 一 人 戴 红 色 帽 子 。 第 一 人 告诉 第 二 人 说 他 不 知道 他 戴 的 是 哪 种 颜色 的 帽子 。 第 二 人 
说 :“ 啊 哈 ， 那 我 一 定 戴 的 是 红色 帽子 。” 

(a) 非 形式 地 给 出 第 二 个 人 结论 的 理由 。 

(b) 设 p,，p; 分 别 表示 第 1，2 人 戴 一 顶 红色 帽子 。 因 此 一 p, 和 一 p, (分别) 意味 着 他 们 
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戴 的 是 白色 帽子 。 使 用 问题 的 描述 ， 非 形式 地 给 出 下 列 前 提 的 理由 : 
i. K,K,(p, Y p2) 
ii. K, (` p, >K, ` p;) 
iii. K, 7 天 Pio 

(c) 使 用 自然 演绎 ， 由 这 些 前 提 证 明 K,p,。 

(d) 通 过 显示 一 个 模型 /世界 ， 它 满足 前 两 个 前 提 ， 但 不 满足 结论 ， 说 明 第 三 个 前 提 是 本 
质 的 。 : 

(e) 现 在 是 否 能 轻易 地 回答 诸如 “ 若 第 2 人 是 盲人 ， 他 仍 能 说 出 管 案 吗 ?” 和 “车 第 1 人 是 
BA, 第 2 人 仍 能 说 出 答案 吗 ?” 这样 的 问题 吗 ? 

12. 回顾 我 们 关于 肯定 知识 公式 和 否定 知识 公式 的 非 形式 讨论 。 给 出 这 些 概念 的 形式 定义 。 


5.7 文献 注释 


对 模 态 逻辑 的 第 一 个 系统 的 处 理 是 由 C. I Lewis 在 20 世纪 50 年 代 做 出 的 。 可 能 世界 的 
处 理 方法 是 由 S. Kripke 发 明 的 ， 大 大 简化 了 模 态 逻辑 ， 现 在 与 模 态 逻辑 几乎 是 同义词 。 讨 
论 模 态 逻辑 的 书籍 包括 [Che80 ，Gol87，Pop94] ， 在 这 些 书 中 可 以 找到 丰富 的 参考 文献 。 所 
有 这 些 书 都 讨论 了 模 态 逻辑 证 明 演 算 的 可 靠 性 和 完备 性 。 它 们 还 研究 哪些 模 态 逻辑 具备 有 限 
模型 性 质 : 若 一 个 矢 列 没有 证 明 , 则 存在 一 个 有 限 模型 说 明 这 一 点 。 不 是 所 有 的 模 态 逻辑 都 
具有 这 个 性 质 ， 这 对 于 可 判定 性 是 非常 重要 的 。 直 党 主义 命题 逻辑 有 有 限 模型 性 质 ， 生 成 这 
样 的 有 限 模型 的 一 个 动画 ( 称 作 PORGI) 从 A. Stoughton 的 网 站 上 可 以 得 到 。 

使 用 模 态 逻辑 进行 推理 知识 的 思想 归功 于 本 Hintikka。 将 模 态 逻 辑 应 用 于 多 代理 系统 的 
大 量 工作 出 现在 [FHMV95] 和 [MvdH95 ] 中 ， 这 些 文献 中 还 包含 作者 们 的 其 他 工作 。 本 章 中 
的 许多 例子 取 自 这 个 文献 (其 中 一 些 归 功 于 其 他 人 ) ， 尽 管 我 们 对 其 处 理 是 原创 的 。 

本 章 中 提出 的 模 态 逻辑 的 自然 演绎 证 明 系 统 基 于 [ Fit93] 中 的 思想 。 

模 态 逻辑 KT4( 更 精确 地 说 ， 是 其 没有 否定 的 片段 ) 作 为 一 种 函数 式 程序 设计 语言 中 阶 
段 计 算 的 类 型 系统 的 一 个 应 用 可 在 [ DP96] 中 找到 。 

应 该 强调 我 们 有 意 使 我 们 的 框架 是 “经 典 的 ”， 论 文 [ Sim94] 对 于 直觉 主义 模 态 逻辑 的 讨 
论 是 个 好 的 来 源 ， 它 也 包含 基本 一 阶 模 态 逻 辑 的 适当 介绍 。 
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第 6 章 一 叉 判 定 图 


6.1 布尔 函数 的 表示 


对 很 多 硬件 和 软件 系统 ， 比 如 同步 和 异步 电路 、 反 应 式 系统 及 有 限 态 程序 ， 布 尔 函 数 是 
一 种 重要 的 形式 描述 机 制 。 为 进行 推理 ， 在 计算 机 中 表示 这 些 系 统 需 要 布尔 函数 的 有 效 表 
示 。 本 章 我 们 将 考察 一 种 表示 ， 详 细 描 述 第 3 章 所 讨论 的 系统 是 怎样 用 这 种 表示 来 进行 验 
证 的 。 

定义 6.1 布尔 变量 x 是 一 个 取 值 为 0 和 1 的 变量 。 用 *,，x,，… 和 %，y，z，… 记 布尔 
变量 。 定义 集合 10， 1} EAS FF wR: 


T def 


e 0141 #0; 

© Hx My RA1, Mae yŽ1; 否则 * ， yo; 

。 若 x* 和 yy 取 值 0, Way 0; FM x+y 41, 

。 若 x* 和 y 恰 有 一 个 等 于 1， 则 x@y 举 1。 

n 个 参量 的 布尔 函数 是 从 {0, 1)" BO, 1| 的 函数 。 用 f(x,，x，,，…，%,) 或 /(V) 指 
H, f 的 语法 表示 只 依赖 于 V 中 的 布尔 变量 。 
注意 、+ 和 四 是 带 有 两 个 参量 的 布尔 函数 ， 而 -是 一 个 参数 的 布尔 函数 。 二 元 函数 
+ 和 全 写成 中 缀 记号 ， 而 不 用 前 级 ， 即 我 们 写 x +y， 而 不 是 + (*，y) 等 。 
例 6.2 利用 上 面 的 四 个 函数 ， 可 以 定义 其 他 布尔 函数 ， 例 如 ; 
(1)flx, y) Æx- (y +2) 
(2)e(x, y) Æx- y+ (13) 
(3)h(x, y, 2) Æx +y- (x7) 
(4)k()=1@(0+1), 


6.1.1 命题 公式 和 真 值 表 
真 值 表 和 命题 公式 是 布尔 函数 的 两 种 不 同 表示 。 在 命题 公式 中 ,用 和 ^，v， 一 ,十 和 二 
FARR, +, 7, 1 和 和 0。 


布尔 西数 可 以 用 非常 明显 的 方式 通过 真 值 表 表示 。 例 如 函数 f(x，y) 装 77 用 真 值 表 表 
示 如 下 的 左边 所 示 : 


d 








x y | fx, y) p q $ 
1 1 0 T T F 
0 1 0 F T F 
1 0 0 T F F 
0 0 1 F F T 


在 右边 ， 用 第 1 章 的 记号 显示 了 相同 的 真 值 表 。 具 有 这 个 真 值 表 的 一 个 公式 是 一 (p v g) FE 
中 ， 只 要 方便 ， 我 们 混合 使 用 布尔 公式 和 命题 逻辑 公式 这 两 种 记号 体系 。 你 应 该 能 够 很 容易 
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地 将 表达 式 从 一 种 记号 转化 为 男 一 种 记号 ， 反 之 亦 然 。 

作为 布尔 函数 的 表示 ， 命 题 公式 和 真 值 表 有 不 同 的 优势 与 劣势 。 真 值 表 在 空间 方面 非常 
低 效 : 如 果 想 用 含有 100 个 变量 的 布尔 函数 建 模 一 个 串联 电路 的 功能 (一 个 很 小 的 芯片 能 轻 
易 需 要 这 么 多 变量 ) ， 那 么 真 值 表 需 要 2”( 大 于 10”) 行 。 整 个 宇宙 中 也 没有 足够 的 存储 空 
间 ( 文 章 或 论文 ) 用 来 记录 2” 个 长 度 为 100 的 不 同位 向 量 的 信息 。 尽 管 真 值 表 空 间 效率 低 
下 ,但 其 运算 相对 简单 。 一 旦 计算 出 真 值 表 ， 很 容易 看 出 它 所 表示 的 布尔 函数 是 不 是 可 满足 
的 : 只 需要 看 真 值 表 的 最 后 一 列 中 是 否 有 1。 

比较 两 个 真 值 表 是 否 表 示 相 同 的 布尔 函数 看 起 来 也 很 容易 ; 假定 两 个 表 的 取 值 次 序 相 
同 ， 只 需 验 证 它们 是 恒 同 的 。 尽 管 这 些 运 算 看 起 来 简单 ， 但 它们 是 计算 难 解 的 ， 因 为 真 值 表 
的 行 数 关于 变量 个 数 是 指数 增长 的 。 如 果 将 函数 表示 为 真 值 表 ， 检 验 一 个 有 个 原子 的 函数 
的 可 满足 性 需要 2” 阶 次 运算 。 因 此 : 用 真 值 表 表示 验证 可 满足 性 和 等 价 性 是 极其 低 效 的 。 

用 命题 公式 表示 布尔 函数 要 稍 好 一 些 。 命 题 公 式 经 常 能 给 出 布尔 函数 的 非常 紧凑 及 有 效 
的 表示 。 有 100 个 变量 的 公式 可 能 只 需 用 约 200 ~ 300 个 字符 。 然 而 ， 判 断 任意 命题 公式 是 
否 可 满足 的 是 计算 机 科学 中 的 著名 问题 ， 对 于 这 个 任务 还 不 知道 任何 有 效 的 算法 ， 人 们 甚至 
很 怀疑 根本 不 存在 有 效 算法 。 类 似 地 ， 人 们 还 怀疑 判断 任意 两 个 命题 公式 上 和 g 是 否 表 示 相 
同 布尔 函数 也 是 指数 代价 的 。 

直接 可 以 看 出 如 何 对 这 两 种 表示 实施 布尔 运算 + ，+ ，@ 四 和 - 。 在 真 值 表 的 情形 ， 需 要 
将 运算 作用 于 每 一 行 。 例 如 ， 给 定 相同 变量 集 上 ( 且 按 相同 次 序 ) 的 /和 .g 的 真 值 表 ， 对 每 一 
行 的 /和 8 真 值 都 应 用 运算 四 就 得 到 .As 的 真 值 表 。 若 /和 g 的 变量 集 不 同 ， 容 易 通过 增加 
更 多 变量 来 填充 。 在 由 命题 公式 表示 的 情形 ，.- 和 田 等 运算 不 过 是 语法 操作 。 例 如 ， 给 定 表示 
函数 /和 g 的 命题 公式 和 yw 表示 fg MSD HARA OA YW Md 074) v( 一 由 
Y)o 

我 们 也 可 以 考虑 用 命题 公式 的 各 种 子 类 表示 布尔 函数 ， 像 合 取 范 式 和 析 取 范式 。 在 析 取 
范式 (DNF， 这 种 形式 的 公式 是 文字 合 取 的 析 取 ) 的 情形 ， 表 示 有 时 是 紧凑 的 ， 但 在 最 坏 情 
况 可 能 会 很 长 。 然 而 ， 检 验 可 满足 性 是 直接 的 操作 ， 因 为 只 需 找到 一 个 析 取 项 不 是 两 个 互补 
文字 。 遗 憾 的 是 ， 没 有 类 似 检 测 有 效 性 的 方法 。 对 两 个 DNF 形式 的 公式 进行 + 运算， 只 需 
在 它们 之 间 插 入 v。 实 施 . 更 复杂 些 。 我 们 不 能 简单 地 在 两 个 公式 之 间 插 入 ^， 因 为 结果 一 
般 不 是 DNF 形式 ， 因 此 必须 不 厌 其 烦 地 应 用 分 配 律 AC, v wp)=($ Aap) A da) o 
计算 DNF 公式 的 否定 代价 也 很 高 。DNF 公式 $ 可 能 相当 短 ， 而 - 由 的 析 取 范式 的 长 度 可 能 
为 由 的 长 度 的 指数 。 

用 合 取 范 式 表示 的 情形 是 对 偶 的 。 这 些 评 注 的 总 结 在 图 6-1 中 (目前 ， 请 忽略 最 后 
一 行 ) 。 











_ 检验 布尔 运算 
布尔 函数 的 表示 RE? 可 满足 性 有 效 性 + - 
命题 公式 难 难 B B B 
DNF 公式 有 时 5 难 难 易 难 
CNF 公式 有 时 难 易 易 难 难 
有 序 真 值 表 从 不 难 难 难 难 难 
简约 OBDD 经 常 易 易 一 般 一 般 易 


图 6-1 五 种 布尔 公式 表示 的 效率 比较 
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6.1.2 二 叉 判定 图 


二 又 判定 图 (Binary Decision Diagrams，BDD ) 是 表示 布尔 函数 的 另 一 种 方法 。 这 种 图 的 
一 个 特定 的 类 将 为 符号 模型 检测 算法 提供 实现 框架 。 先 考虑 一 种 较 简单 的 二 叉 判 定 图 ， 称 为 
二 又 判定 树 。 这 些 树 的 非 终 止 结 点 用 布尔 变量 x*，y，z，… 标 识 ， 而 终止 结 点 用 0 或 1 标记。 
每 一 个 非 终 止 结 点 有 两 条 边 : 一 条 虚线 的 和 一 个 实 线 的 。 在 图 6-2 中 ， 可 以 看 到 一 棵 这 样 的 
二 叉 判 定 树 ， 有 变量 x My 两 层 。 

定义 6.3 设 T 是 一 棵 有 限 二 叉 判 定 树 。 按 如 下 方式 ,TT 确定 以 非 终 止 结 点 为 变量 的 唯 
一 布尔 函数 。 给 定 了 中 出 现 的 布尔 变量 赋值 0 或 1， 从 了 的 根 开始 ， 只 要 当前 结 点 的 变量 值 
为 0， 那 么 沿 虚线 走 ; 否则 沿 实 线 走 。 函 数值 就 是 所 到 达 的 终止 结 点 的 值 。 

例如 ， 图 6-2 的 二 叉 判 定 树 表示 布尔 函数 f(x，y)。 为 求 /(0, 1)， 从 树 的 根 开始 。 因 
为 * 的 值 是 0， 沿 标记 为 * 的 结 点 出 发 的 虚线 到 达 最 左边 由 标记 为 y 的 结 点 。 因 为 y 的 值 是 
1， 我 们 沿 由 y 结 点 出 发 的 实 线 到 达 最 左边 的 终止 结 点 0。 于 是 , /(0，1) 等 于 0。 在 计算 
SO, 0) 时 ,我 们 类 似 地 向 下 通过 树 ， 但 现在 是 沿 着 两 条 虚线 得 到 结果 1。 你 可 以 看 到 另外 两 
种 可 能 性 以 到 达标 记 为 0 的 剩 下 的 终止 结 点 结束 。 于 是 ， 这 个 二 叉 判定 树 计算 了 函数 
fx, EFT. 





四 [0] É] 


图 6-2 二 叉 判定 树 的 例子 


就 尺寸 而 言 ， 二 叉 判 定 树 与 布尔 函数 的 真 值 表 表示 相当 接近 。 若 一 棵 二 又 判定 树 的 根 是 
* 结 点 ， 则 它 有 两 棵 子 树 ( 一 个 代表 x 的 值 为 0， 另 一 个 代表 * 的 值 为 1) 。 因 此 ， 若 依赖 于 
n 个 布尔 变量 ， 对 应 的 二 叉 判 定 树 至 少 有 2"” -1 个 结 点 (参看 练习 6.2 的 5)。 由 于 了 的 真 值 
表 有 2 行 ， 我 们 看 到 二 叉 判 定 树 同 样 不 是 布尔 函数 的 更 紧凑 表示 。 二 又 判 定 树 经 常 包含 一 
些 元 余 ， 我 们 可 以 就 此 进行 探索 。 

由 于 0 和 1 是 二 叉 判定 树 仅 有 的 终止 结 点 ， 可 以 用 指针 仅 指 向 0 和 1 的 一 个 副本 来 优化 
表示 。 例 如 ， 图 6-2 中 的 二 叉 判定 树 可 以 按 这 种 方法 优化 ， 而 结果 结构 描述 在 图 6-3a 中 。 
注意 ， 我 们 节省 了 两 个 元 余 0 结 点 的 存储 空间 ， 但 边 ( 指 针 ) 仍 然 和 以 前 一 样 多 。 

可 以 做 的 第 二 个 优化 是 去 掉 树 中 不 需要 的 决策 点 。 在 图 6-3a 中 ， 右 边 的 y 是 不 需要 的 ， 
因为 无 论 它 是 0 还 是 1， 都 到 达 相 同 的 地 方 。 因 此 ， 该 结构 可 以 进一步 化 简 为 图 6-35 所 示 的 
结构 。 

所 有 这 些 结构 都 是 二 又 判定 图 (BDD) 的 例子 。 它 们 比 二 又 判定 树 更 一 般 ， 可 共享 叶 结 点 意 
味 着 它们 不 是 树 。 作 为 第 三 种 优化 ， 还 允许 共享 子 BDD。 子 BDD 是 出 现在 给 定 结 点 下 的 BDD 
的 一 部 分 。 例 如 ， 在 图 6-4 的 BDD 中 ， 两 个 内 部 y 结 点 起 相同 作用 ， 因 为 它们 下 面 的 子 
BDD 有 相同 的 结构 。 因 此 ， 可 以 去 掉 一 个 ， 结 果 是 图 6-5a 中 的 BDD。 事 实 上 ， 最 左边 的 y 
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a) 在 图 6-2 中 二 叉 判 定 b) 通过 删除 一 个 元 余 
树 中 共享 终止 结 点 决策 点 的 进一步 优化 


图 6-3 


结 点 也 可 以 与 中 间 的 合并 ， 然 后 两 者 上 边 的 * 结 点 成 为 多 余 的 。 将 其 去 掉 得 到 图 6-5 右边 
的 BDD。 





a) 去 掉 重 复 的 y 结 点 后 b 去 掉 另 一 个 重复 的 y 结 点 ， 然 
后 去 掉 一 个 元 余 的 x 决策 点 


图 6-5 图 6-4 的 BDD 


概括 起 来 ， 我 们 已 经 看 到 了 将 BDD 化 简 成 更 紧凑 形式 的 三 种 不 同方 法 ， 
Cl. 去 掉 重 复 的 终止 结 点 。 若 BDD 包含 不 止 一 个 终止 0 结 点 ， 则 将 指向 这 样 的 0 结 点 
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的 所 有 边 重 定向 为 只 指向 其 中 的 一 个 。 对 标记 为 1 的 终止 结 点 用 相同 的 方法 处 理 。 

C2. 去 掉 元 余 的 测试 。 若 结 点 n 出 发 的 两 条 边 都 指向 同一 结 点 m， 则 去 掉 结 点 n， 将 所 
有 进入 该 结 点 的 边 指向 m。 

C3. 去 掉 重 复 的 非 终止 结 点 。 若 BDD 中 两 个 不 同 结 点 m An 是 结构 相同 的 子 BDD 的 
根 ， 则 去 掉 其 中 的 一 个 ， 比 如 说 m， 并 将 所 有 进入 该 结 点 的 边 重 定向 到 另 一 个 。 

注意 Cl 是 C3 的 特殊 情况 。 为 精确 定义 BDD， 需 要 几 个 辅助 概念 。 

定义 6.4 有 向 图 是 一 个 集合 C 和 G 上 的 二 元 关系 一 : 一 CC xG。 有 向 图 中 的 环 路 
是 该 图 中 的 一 条 有 限 路 径 ， 其 开始 和 终止 结 点 相同 ， 即 形 如 ov. 一 9, 一 … 一 2, 一 v1 的 路 径 。 
不 含 任何 环 路 的 有 向 图 称 为 有 向 无 环 图 (directed acyclic gragh，dag)。 有 向 无 环 图 的 一 个 
结 点 如 果 没 有 指向 该 结 点 的 边 称 为 初始 的 ， 如 果 没 有 从 该 结 点 出 发 的 边 则 该 结 点 称 为 终 
止 的 。 

3-3 中 的 有 向 图 有 环 路 ， 例 如 环 路 so 一 s1 一 s。， 故 不 是 有 向 无 环 图 。 若 我 们 将 BDD 中 
的 连接 (无 论 是 实 线 还 是 虚线 ) 总 是 向 下 方向 ， 则 本 章 的 BDD 也 是 有 向 图 。 它 们 还 是 无 环 
的 ， 而 且 有 唯一 初始 结 点 。 优 化 C1 ~ C3 保持 有 向 无 环 图 的 性 质 ， 完 全 简化 的 BDD 恰好 有 
两 个 终止 结 点 。 现 在 我 们 正式 将 BDD 定义 为 特定 类 型 的 有 向 无 环 图 ; 

定义 6.5 二 又 判定 图 是 一 个 具有 了 唯一 初始 结 点 的 有 限 无 环 有 向 图 ， 其 所 有 终止 结 点 标 
记 为 0 或 1， 所 有 非 终止 结 点 用 布尔 变量 标记 。 每 个 非 终 止 结 点 恰好 有 两 条 边 指 向 其 他 结 
A: 一 个 标记 为 0， 一 个 标记 为 1( 分 别 用 虚线 和 实 线 表示 ) 。 

一 个 BDD 称 为 简约 的 ， 如 果 优 化 Cl ~ C3 不 能 再 应 用 ( 即 不 可 能 再 进一步 化 简 ) 。 

本 章 看 到 的 所 有 决策 结构 (图 6-2 ~ 图 6-5) 都 是 BDD， 如 图 6-6 中 的 常 值 函数 B, ，B, 和 
函数 8.。 若 了 是 BDD， 且 ?= 12 ， 思 ，…，xz| 是 其 非 终 止 结 点 的 标记 集合 ， 则 按照 与 二 又 
判定 树 相 同 的 方式 (参看 定义 6.3)，B 确定 了 一 个 布尔 函数 A(V): 给 定 了 中 变量 赋值 0 和 
1， 从 唯一 初始 结 点 开始 ， 计 算 /的 值 。 若 其 变量 取 值 0， 沿 虚线 走 ; 否则 沿 实 线 走 。 对 每 个 
结 点 继续 直到 到 达 一 个 终止 结 点 。 因 为 根据 定义 BDD 是 有 限 的 ， 最 终 我 们 能 到 达 一 个 标记 
为 0 或 1 的 终止 结 点 。 这 个 标记 就 是 f 对 这 个 特殊 真 值 赋值 的 值 。 


[e] 3 


(0) 
a) Bo 表示 常 值 0 布尔 消 数 。 
类 似 地 ，BDD B81 只 有 -~ 个 结 b) 如. 表示 布尔 变量 x 
点 1， 表 示 常 值 1 布 尔 函 数 


图 6-6 BDD 


BDD 的 定义 并 不 禁止 布尔 变量 不 止 一 次 出 现在 无 环 有 向 图 中 的 路 径 上 。 例 如 ， 考 虚 
图 6-7 中 的 BDD, 

然而 ， 这 样 的 表示 有 些 浪费 。 例 如 ， 从 最 左边 的 x 到 终止 结 点 1 的 实 线 连接 永远 不 会 用 
到 ， 因 为 只 有 当 x 取 0 值 时 ， 才 会 到 达 那 个 x 结 点 。 

多 亏 有 化 简 规 则 C1 ~ C3 BDD 可 以 经 常 相当 紧凑 地 表示 布尔 函数 。 考 虑 对 表示 为 BDD 
的 函数 如 何 检验 可 满足 性 以 及 实施 布尔 运算 。BDD 表示 一 个 可 满足 函数 ， 如 果 从 表示 该 函 
数 的 BDD 的 根 出 发 ， 沿 一 条 相 容 路 径 (consistent path) A BA —7 1 终止 结 点 。 相 容 路 径 是 
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图 6-7 一 个 BDD， 其 中 某 些 布尔 变量 在 一 条 赋值 路 径 上 出 现 不 止 一 次 


指 对 每 个 变量 ， 该 路 径 上 从 此 变量 标记 的 结 点 出 发 只 能 沿 实 线 或 虚线 (换言之 ， 不 能 给 一 个 
变量 同时 赋 0 和 1 值 ) 。 有 效 性 检验 是 类 似 的 ， 不 过 检验 的 是 通过 相 容 路 径 不 可 能 到 达 0 终 
止 结 点 。 
通过 对 BDD 成 分 进行 “手术 ”， 可 以 实施 运算 . 和 + 。 给 定 表 示 布 尔 函 数 A 和 8 的 BDD 
BAB, RRS: g 的 BOD 可 按 如 下 方式 得 到 : 取 BDD f/， 并 将 其 中 的 所 有 1 终止 结 点 用 已 
代替 。 为 看 出 这 样 做 的 理由 ， 考 虑 在 结果 的 BDD 中 如 何 到 达 一 个 1 终止 结 点 。 为 到 达 1， 必 
须 同时 满足 两 个 BDD 所 提出 的 要 求 。 类 似 地 ,f+g 的 BDD 可 以 通过 将 B, 中 的 所 有 0 终止 
结 点 用 B, 代替 而 得 到 。 注 意 这 些 操作 所 产生 的 BDD 中 ， 有 可 能 使 变量 沿路 径 多 次 出 现 。 后 
面 在 6. 2 节 中 ， 我 们 将 看 到 对 BDD 的 + 和 定义， 它们 不 会 有 这 种 负面 影响 。 
补 运算 “也 是 可 能 的 : 将 Bj 中 所 有 0 终止 结 点 用 1 终止 结 点 代 蔡 ， 所 有 1 终止 结 点 用 0 


终止 结 点 代替 ， 即 可 得 到 表示 /的 BDD。 图 6-8 显示 的 是 图 6-2 BDD 的 补 。 


[6] rf] 


图 6-8 图 6-2 中 BDD 的 补 


6. 1.3 有 序 BDD 


我 们 已 经 看 到 : 由 于 化 简 规 则 C1 ~ C3 允许 信息 共享 ， 所 以 用 BDD 表示 布尔 函数 经 党 
是 紧凑 的 。 然 而 ， 沿 一 条 路 径 布尔 变量 可 重复 出 现 的 BDD 看 起 来 相当 低 效 。 此 外 ,似乎 没 
有 容易 的 办 法 检验 BDD 的 等 价 。 例 如 ， 图 6-7 和 图 6-9 的 BDD 表示 相同 的 布尔 函数 (读者 应 
该 能 验证 这 一 点 ) 。 二 者 都 不 能 由 化 简 规 则 Cl ~ C3 进一步 优化 。 然 而 ， 检 验 它们 是 否 表示 
相同 的 布尔 函数 所 需 的 计算 工作 量 看 起 来 与 计算 N, y, 2) 的 整个 真 值 表 不 相 上 下 。 

我 们 可 以 按 如 下 方式 加 以 改进 : 对 沿 任意 路 径 出 现 的 变量 加 上 次 序 ， 然 后 对 所 操作 的 所 
有 BDD 都 坚持 相同 的 次 序 。 
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图 6-9 与 图 6-7 的 BDD 表示 相同 布尔 函数 的 BDD, 但 变量 次 序 为 [ *，y，z ] 


定义 6.6 设 [x,，…，x,] 是 无 重复 的 有 序 变量 表 ，B 是 一 个 BDD， 其 所 有 变量 都 出 现 
在 该 表 的 某 处 。 我 们 说 B 有 次 序 [x,，…，x,] ， 如 果 B 的 所 有 变量 标记 都 出 现在 该 表 中 ， 且 
沿 B 中 任何 路 径 ， 对 x, 跟随 x, 后 边 的 每 次 出 现 ， 都 有 i <j。 

有 序 BDD( OBDD) 是 带 有 某 些 有 序 变量 表 的 BDD。 

注意 : 图 6-3a、b 和 图 6-9 的 BDD 是 有 序 的 ( 带 有 序 [x*，y])。 我 们 并 不 坚持 表 中 的 每 
个 变量 在 路 径 中 都 用 到 了 。 于 是 ， 图 6-3 和 图 6-9 的 OBDD 具有 序 [x，y，z] ， 而 且 按 照 这 
个 次 序 包 含 *，y 和 z BER, Alu, x, y, v,，z,w] 和 [x,，wu，, y, z] 也 都 是 序 。 其 至 
图 6-6 中 的 BDD B, 和 有, 也 是 OBDD， 一 个 合适 的 序 表 是 空 表 ( 没 有 变量 )， 或 者 事实 上 任何 
序 表 都 可 以 。 图 6-6b 的 BDD B, th OBDD, AA x 的 任何 表 都 可 作为 它 的 序 。 

图 6-7 的 BDD 不 是 有 序 的 。 为 弄 明 白 原因 ， 考 虑 x Ay 的 值 为 0 时 所 取 的 路 径 。 从 根 结 
点 (一 个 % 结 点 ) 开 始 ， 到 达 一 个 y 结 点 ， 然 后 又 到 达 一 个 x 结 点 。 于 是 ， 无 论 怎 么 选择 列表 
的 顺序 ( 记 住 : 不 允许 重复 出 现 ) ， 这 条 路 径 都 与 有 序 条 件 冲 突 。 在 图 6- 10 中 可 看 到 非 有 序 
BDD 的 另 一 个 例子 。 此 时 ， 我 们 找 不 到 次 序 ， 因 为 (x*，y，z) 一 (0，0,，0) 的 意思 是 x，y，z 
都 赋值 为 0， 这 条 路 径 表 明 y 必须 在 列表 中 的 * 之 前 出 现 ， 而 关于 (x*，y，z) 一 (1，1，1) 的 
路 径 则 要 求 * 在 y 之 前 。 





图 6-10 无 变量 序 的 BDD 


从 OBDD 的 定义 得 到 : 沿 一 条 路 径 的 任何 变量 都 不 能 多 次 出 现 。 
当 对 两 个 OBDD 进行 操作 时 ,通常 要 求 它 们 有 相 容 的 变量 序 (compatible variable 
ordering). B, M B, 的 序 称 为 相 容 的 ， 如 果 不 存在 变量 x 和 y 使 得 关于 B 的 序 x 在 y 之 前 ， 
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而 关于 B, 的 序 , yx 之 前 。 对 序 的 这 项 承诺 提供 了 布尔 函数 作为 OBDD 的 唯一 表示 。 例 
如 ， 图 6-8 和 图 6-9 中 的 BDD 具有 相 容 的 变量 序 。 

定理 6.7 给 定 函 数 / 的 简约 OBDD 表示 是 唯一 的 。 也 就 是 说 , 设 B 和 B' 是 具有 相 容 变 
量 序 的 两 个 简约 OBDD。 若 B 和 B' 表 示 相 同 的 布尔 济 数 ， 则 它们 有 恒 同 的 结构 。 

换 句 话说 ， 对 OBDD 来 讲 ， 只 要 序 是 相 容 的 ， 就 不 会 再 有 以 前 过 到 过 的 两 个 不 同 简约 
BDD 表示 相同 布尔 函数 的 情况 。 由 此 可 知 ， 检 验 OBDD 的 等 价 是 直接 的 。 检 验 两 个 (有 相 容 
序 的 )0BDD 是 否 表 示 相 同 布尔 函数 不 过 是 检查 它们 是 否 有 相同 结构 9 而 已 。 

上 述 定理 的 一 个 有 用 结论 是 : 若 将 化 简 规 则 Cl ~ C3 用 于 OBDD， 直 到 不 能 再 化 简 为 
止 ， 则 保证 结果 总 是 相同 的 简约 OBDD。 使 用 化 简 规 则 的 次 序 无 关 紧 要 。 因 此 ， 我们 说 
OBDD 有 一 种 标准 形 ， 即 其 唯一 的 简约 0OBDD。 大 多 数 其 他 表示 (例如 合 取 范式 等 ) 没 有 标 
准 形式 。 

6.1.2 节 中 提出 的 BDD 运算 .和 + 对 0BDD 不 再 有 效 ， 
因为 它们 可 能 引入 路 径 上 变量 的 多 次 出 现 。 我 们 很 快 会 引入 
关于 OBDD 运算 的 更 复杂 算法 ， 该 算法 利用 各 路 径 变 量 的 相 
容 序 。 

OBDD 可 以 对 某 些 布尔 函数 类 给 出 紧凑 表示 ， 而 用 其 他 系统 
的 表示 (诸如 真 值 表 与 合 取 范式 ) 是 指数 的 。 作 为 一 个 例子 ， 考 虑 
偶 性 奇偶 函数 (even parity function) fea (Xi1，x,，"…，%,) ， 若 偶数 
个 变量 x, 取 值 1， 该 函数 定义 为 1; 否则 定义 为 0。 用 OBDD 表 
示 这 个 函数 只 需要 2n +1 个 结 点 。 对 n=4 且 序 为 [x ta, om, 
x4] 时 的 OBDD 可 在 图 6-11 中 找到 。 

选 定 变量 序 的 影响 表示 奇偶 函数 的 OBDD 的 大 小 与 选 
择 的 变量 序 无 关 。 这 是 因为 奇偶 函数 本 身 与 变量 顺序 无 关 : 图 6-11 四 个 位 的 偶 性 
交换 任何 两 个 变量 的 值 不 会 改变 函数 的 取 值 。 这 样 的 函数 称 函数 的 OBDD 
为 对 称 的 。 

然而 ， 一 般 情 况 下 ， 选 定 的 变量 序 对 表示 给 定 函 数 的 OBDD 的 大 小 有 显著 不 同 。 考 
FR AB OR PRE (x, +x.) + (x, ta) oc (x+sn)。 它 对 应 于 一 个 合 取 范 式 形 式 的 命 
题 公式 。 若 我 们 选择 “自然 ” 序 [x;，x,，x;，x4，…] ， 则 可 将 此 函数 表示 为 具有 2n +2 
个 结 点 的 OBDD。 图 6-12 显示 了 当 n=3 时 的 结果 OBDD。 如 果 我 们 非常 遗憾 地 选择 了 
另 一 个 序 





、 [zx Ma Xan 1 By gy Xo, | 
则 结果 OBDD 将 需要 2""' 个 结 点 ; 在 图 6-13 中 可 以 看 到 n=3 时 的 OBDD。 

OBDD 的 尺寸 对 特定 变量 序 的 敏感 依赖 是 为 OBDD 对 BDD 的 所 有 优势 所 付出 的 代价 。 
尽管 寻找 最 佳 序 本 身 是 计算 代价 高 昂 的 问题 ， 但 仍然 有 一 些 好 的 启发 性 因素 使 通常 能 产生 相 
当 好 的 序 。 后 面 在 讨论 应 用 时 ， 我 们 将 回 到 这 个 话题 。 

标准 表示 的 重要 性 ”与 判断 两 个 简约 OBDD 是 否 同 构 的 有 效 测试 相 比 ，OBDD 合 取 有 标 





© 在 实现 中 , 这 相当 于 检查 两 个 指针 是 否 相 等 。 
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图 6-12 (x, +x.) + (x, +%,) + (x, +x) 的 OBDD， 
变量 序 为 [x,， Xas X33 Nyy Xs, xe] 





图 6-13 改变 次 序 可 能 对 OBDD 的 尺寸 有 显著 影响 ; 变量 序 为 [x,， Tzs Xs, Xay My, xli}, 
(a ta) + (x, +a) + (xs +a) OBDD 


准 形 的 重要 性 不 能 过 高 估计 。 我 们 可 以 进行 下 列 检测 : 


， ”没有 宛 余 变量 。 若 布尔 函数 (x,，x,，…， x, ) 的 值 不 依赖 x, 的 值 ， 则 表示 /的 任何 简 
约 OBDD MAE x, 结 点 。 


语义 等 价 检验 。 若 两 个 函数 f(x , Xas very x) A g(x, Xo, vey *, ) 分 别 表 示 为 带 有 相 
容 变量 序 的 OBDD Br 和 8。， 则 我 们 可 以 有 效 地 检验 /和 g 是 否 语 义 等 价 。 化 简 B, 和 B,( 如 
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果 需 要 ) ， 当 且 仅 当 简约 的 OBDD 具有 恒 同 的 结构 , /和 g 表示 相同 布尔 函数 。 

有 效 性 检验 。 按 下 列 方法 ， 可 以 检验 函数 f(x, ，x,，…，x, ) 的 有 效 性 ( 即 f 总 计算 出 1)。 
计算 /的 简约 OBDD。 当 且 仅 当 j 的 简约 OBDD 是 B, ， 则 了 是 有 效 的 。 

蕴涵 检验 。 通 过 计算 /. g 的 简约 OBDD, TARE SC, %, e, x, SEAM g(xi， 
x2，…，zx。)( 即 只 要 /计算 出 1， 那 么 g 也 如 此 )。 当 且 仅 当 蕴涵 成 立 计算 结果 是 Bo 

可 满足 性 检验 。 我 们 可 以 检验 函数 (x, x, e, a 的 可 满足 性 (至 少 对 其 变量 赋值 0 
All, /可 计算 出 1) 。 函 数 /是 可 满足 的 ， 当 且 仅 当 其 简约 OBDD 不 是 Bao 


6.2 简约 OBDD 的 算法 
6.2.1 算法 reduce 


在 OBDD 的 任何 重要 应 用 中 ， 化 简 规则 C1 ~ C3 都 处 于 核心 位 置 ， 因 为 只 要 构造 一 个 
BDD， 总 要 把 它 化 成 简约 形式 。 本 节 中 ,我 们 描述 一 个 能 有 效 化 简 有 序 BDD 的 算法 
reduce, 
E B 的 序 是 [x,，x,，…, %4], MB 至 多 有 1+1 层 。 算 法 reduce 按 自 底 向 上 的 方式 ， 
从 终止 结 点 开始 逐 层 遍历 B。 在 遍历 B 的 过 程 中 ,该 算法 按 以 下 方式 为 B8 的 每 个 结 点 n 指派 
一 个 整数 标记 id(n), BRA AW m 和 WF OBDD 表示 相同 的 布尔 函数 ， 当 且 仅 当 
id(m) 等 于 id(n)。 
由 于 reduce 从 终止 结 点 层 开始 ， 故 它 将 第 一 个 标记 (比如 说 加 ) 指派 给 它 所 遇 到 的 第 
一 个 0 结 点 。 所 有 其 他 终止 0 结 点 与 第 一 个 0 结 点 表示 相同 的 函数 ， 因 此 得 到 相同 的 标记 
(与 化 简 规 则 C1 比较 )。 类 似 地 ，1 结 点 都 得 到 下 一 个 标记 ， 比 如 友 。 
现在 我 们 做 归纳 假设 : reduce BBA >i 的 一 层 上 的 所 有 结 点 ( 即 所 有 终止 结 点 和 满足 
j>i 的 x 结 点 ) 都 指派 了 整数 标记 。 我 们 描述 如 何 处 理 第 i 层 的 结 点 ( 即 x, 结 点 ) 。 
定义 6.8 给 定 BDD 中 一 个 非 终 止 结 点 n， 定 义 lo(n) 为 从 n 出 发 沿 虚 线 所 指向 的 结 点 。 
对 偶 地 ，hi(n) 是 从 nn 出 发 沿 实 线 所 指向 的 结 点 。 
我 们 来 描述 如 何 做 标记 。 给 定 一 个 %; 结 点 n， 有 三 种 方式 可 得 到 其 标记 : 
© 若 标记 id(lo(n) ) 与 id(hi(n) ) 相 同 ， 则 令 id(n) 就 是 该 标记 。 因 为 结 点 n 处 所 表示 的 布尔 函数 与 
lo(n) 和 hi(n) 处 所 表示 的 是 相同 的 函数 。 换 言 之 , 结 点 4 实施 了 多 余 的 检测 ， 故 由 化 简 规 则 C2 可 
以 被 消除 。 

。 BARBRA m (i m 和 nn 有 相同 的 变量 x,, TA id(lo(n)) =id(lo(m)), id(hi(n)) =id(hi(m)), 
则 令 id(n) 是 id(m)。 因 为 结 点 n 和 m 计算 相同 的 布尔 函数 (与 化 简 规 则 C3 比较 ) 。 

。 BM, $ id(n) 是 下 一 个 未 使 用 的 整数 标记 。 

注意 ， 只 有 最 后 一 种 情形 创建 新 标记 。 考 虑 图 6-14 左边 的 OBDD， 每 个 结 点 都 有 
一 个 按 刚 刚 描述 的 方式 得 到 的 整数 标记 。 然 后 ， 如 C1 ~ C3 概述 的 方法 自 底 向 上 将 边 重 
定向 而 完成 算法 redauce。 所 得 到 的 简约 OBDD 显示 在 图 6-14 的 右边 。 因 为 对 有 向 无 
环 图 存在 自 底 向 上 遍历 的 有 效 算法 ， 因 而 reduce 就 OBDD 结 点 个 数 而 言 是 一 个 有 效 
算法 。 
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图 6-14 算法 reduce 的 示例 执行 


6.2.2 算法 apply 


处 于 OBDD 核心 的 另 一 程序 是 算法 apply。 它 用 于 实现 布尔 函数 的 运算 ， 如 + +, 
全 和 求 补 (通过 J 中 1)。 给 定 布尔 函数 /和 g 的 OBDD B, 和 B,， 调 用 apply(op, B,, B,) 
计算 布尔 函数 /op g 的 简约 OBDD, 其 中 op 表示 从 {0, 1} x 10, 1) B10, 1| 的 任何 
函数 。 

apply 算法 背后 的 直觉 相当 简单 。 该 算法 对 两 个 OBDD 的 结构 递归 地 进行 操作 : 

1. B ov EBRE B, RB, 中 关于 序 处 于 最 高 位 置 的 变量 ( = 序 表 的 最 左边 ) ; 

2. 将 问题 分 裂 为 "是 0 及 "是 1 的 两 个 子 问题 ， 然 后 递归 求解 ; 

3. 在 叶 结 点 处 ， 直 接应 用 布尔 运算 op. 
为 使 之 成 为 一 个 OBDD， 所 得 结果 通常 需要 化 简 。 在 第 2 步 中 已 经 可 以 “顺便 ”做 一 些 化 简 ， 
若 两 个 分 支 相等 (此 时 返回 共同 的 结果 )， 或 者 等 价 的 结 点 已 经 存在 (此 时 使 用 这 个 结 点 )， 
避免 创建 新 结 点 。 

我 们 更 准确 和 详细 地 讲解 所 有 这 些 过 程 。 

定义 6.9 设 / 是 布尔 公式 ， 且 * BEB, 

1. 用 f[0/x] 表 示 将 x 在 f 中 的 所 有 出 现 替换 为 0 所 得 到 的 布尔 公式 。 公 式 f[1/x] 可 类 似 定义 。 表 达 式 
fL0/x] 和 f[1/x] 称 为 的 限制 。 

2. 我 们 说 两 个 布尔 公式 f 和 g 是 语义 等 价 的 ， 如 果 它 们 代表 相同 的 布尔 函数 (就 它们 所 依赖 的 布尔 变量 
而 言 ) 。 此 时 ， 记 .=e。 

例如 ,车 几 z，7) 兰 *， (y+), WELO], EFO. (7+0)， 语 义 等 价 于 0。 类 
似 地 ，f[1/x] (x，Y) 等 于 x. (1 +x), 语义 等 价 于 x*。 

通过 函数 限制 可 以 将 布尔 公式 分 解 成 更 简单 的 公式 ， 从 而 允许 对 布尔 公式 实施 递归 。 例 
如 ,车 * 是 f 中 的 一 个 变量 ,， 则 了 等 价 于 x*， f[0/x] +x: f[1/x]。 为 看 到 这 一 点 ， 考 虚 x =0 
的 情形 ; 该 表达 式 计算 出 [0/x]。 当 x=1 时 ， 它 计算 出 f[1/x]。 这 个 观察 称 为 香农 展开 
(Shannon expansion), RÆ G. Boole F 1854 年 出 版 的 书 “The Laws of Thought” 中 已 经 可 以 
找到 这 个 表达 式 。 

引 理 6. 10( 香农 展开 ) ”对 所 有 布尔 公式 f 和 布尔 变量 x( 即使 不 出 现在 f 中 )， RMA 

f=x* fl0/x] +%*f[1/x] (6-1) 

ZX apply 基于 fop gg 的 香农 展开 : 
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fop g = x; + (f[0/x;] op g[0/x,]) +x, - (f[1/x;] op g[1/x;]) (6-2) 
这 个 结果 被 用 做 apply 的 控制 结构 。 算 法 apply MB, 和 已 的 根 开始 向 下 构造 OBDD Bu 
Ham. Kr, Mr, 分 别 是 Bj AB, 的 根 结 点 。 

1. 若 六 和 产 都 是 终止 结 点 ， 分 别 具 有 标记 和 郊 ( 回 忆 一 下 终止 结 点 标记 或 者 是 0 或 者 是 1) ， 则 我 们 
计算 值 opl, HBAR 0BDD 为 B ， 如 果 该 值 是 0; 否则 结果 为 B,。 

2. 在 余下 的 情况 中 ， 至 少 有 一 个 根 结 点 是 非 终 止 的 。 假 定 两 个 根 结 点 都 是 x, 结 点 ， 则 创建 一 个 x; 结 点 
n， 带 有 一 条 指向 apply(op, lo(r,), lo(r,)) MR A—AHM apply(op, hi(r,), hi(r,) MR. Bi: 
在 式 (6-2) 的 基础 上 递归 地 调用 apply. 

3. rex Gm, 但 7 是 终止 结 点 或 是 一 个 满足 ij<i 的 % 结 点 ， 则 我 们 知道 B 中 没有 x BAR, AA 
两 个 OBDD 有 相 容 的 布尔 变量 序 。 于 是 ，g 与 x; 无 关 (g=g[0/x,] =g[1/x;])。 因 此 ， 创 建 一 个 x, BA, 
带 有 一 条 指向 apply(op, lo(r,), 1。) 的 虚线 和 一 条 指向 apply(op, hi(r,), r) 的 实 线 。 

4. Fr, 非 终止 、 而 为 终止 结 点 或 是 满足 ji >i 的 x 结 点 的 情况 ， 可 按照 情形 3 对 称 地 处 理 。 

这 个 过 程 的 结果 可 能 不 是 简约 的 ， 因 此 ，apply 通过 对 它 所 构造 的 OBDD 调用 函数 reduce 
HR. apply 的 一 个 例子 可 在 图 6-15 ~ 图 6-17 中 看 到 (其 中 op 为 +)。 图 6-16 显示 了 apply 的 
递归 向 下 控制 结构 ， 而 图 6-17 显示 最 终结 果 。 在 这 个 例子 里 ，apply( +, B,, B, KHARE B,. 





图 6-15 两 个 参量 调用 apply( + ，B,，B,) 的 一 个 例子 


_ Ry Si) 


了 一 7 


RS) (Ra Ss) (Rs Ss) (Re, Ss) 


( i 
O) 1O, 人 
/ 7 / 
/ / 
/ 


/ / / 
(Rs, Sa) (Re, 55) (Ray S3) (Re $3) (Rs; Sy) (Re, Ss) 
Cy i 
£ 
7 1 
Ed t 


(RS) (Res) (Res) (ROSS) 
图 6-16 apply 对 图 6-15 中 例子 的 递归 调用 结构 (无 记忆 ) 
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图 6-17 apply( +，B/，B,) 的 结果 ， 图 6-18 一 个 非 仅 读 一 次 的 BDD 的 例子 
其 中 B, Al B, 由 图 6-15 给 出 


图 6-16 表明 对 apply 的 数 次 调用 对 相同 的 参量 出 现 了 几 次 。 若 仅 计算 第 一 次 调用 并 将 
结果 记忆 以 备 将 来 调用 ， 可 以 获得 效率 上 的 改善 。 这 种 编程 技巧 称 为 记忆 (memoisation) 。 除 
， 了 更 有 效 之 外 ， 它 还 有 另 一 个 优势 : 得 到 OBDD 所 需要 的 化 简 更 少 。( 在 本 例 中 ， 使 用 记忆 
消除 了 对 reduce 最 后 调用 的 需要 ) 。 不 用 记忆 的 话 ，apply 关于 其 参量 的 尺寸 是 指数 的 ， 
因为 每 个 非 叶 结 点 的 调用 都 会 再 产生 两 次 调用 。 使 用 记忆 ， 对 apply 的 调用 次 数 有 上 界 
2-1B,l .18,1 ,其 中 181 是 BDD 的 尺寸 。 这 是 最 坏 情况 下 的 时 间 复 杂 度 ， 实际 性 能 
往往 比 这 好 得 多 。( 参 见 图 6-18) 


6.2.3 算法 restrict 


给 定 表示 布尔 公式 了 的 OBDD B, PBA restrict, 使 得 调用 restrict(0, x, 
B,) 计 算出 表示 [0/x] 的 简约 OBDD， 使 用 与 Bj 相同 的 变量 序 。restrict(0，x，B/) 的 算 
法 进行 如 下 。 对 标记 为 x 的 每 个 结 点 n， 进 入 该 结 点 的 边 重 定 向 到 lo(n)， 并 将 n M, R 
后 对 得 到 的 OBDD 调用 reduce, WA restrict(1, x，B,) 相 似 地 进行 ,只 需 将 进入 的 边 
重 定 向 到 hi(n) BAT, 


6.2.4 算法 exists 


布尔 函数 可 以 理解 为 对 其 参 变 量 值 所 施加 的 约束 。 例 如 ， 仅 当 x* 为 1, RH y HOR: 
为 1 时 ， 函 数 x+(7“.z) 才 计算 出 1。 这 是 对 *，y，z 的 一 种 约束 。 
能 够 表达 出 所 关注 的 一 个 变量 子 集 约束 释放 (relaxation of the constraint) 是 有 用 的 。 为 做 
到 这 一 点 ， 用 3%. 了 表示 对 x 的 约束 已 被 释放 的 布尔 函数 /。 形 式 上 讲 ， x.f 定 义 为 f[0/x] 
+f[1/x]， 即 3x.f 为 真 ， 如果 令 x 是 0 或 1 时 , /为 真 。 BA Ief flO] +f], w 
exists 算法 可 依据 算法 apply 和 restrict 实现 为 
apply(+,restrict(0,«,B,) ,restrict(1,x,B,)) (6-3) 
例如 ， 考 虑 函数 7 兰 y, +2, y +%，* y, 的 OBDD B,, WE 6-19 所 示 。 图 6-20 显示 
J restrict(0, x,, B,) Ml restrict(1, x, Br)， 以 及 将 + 作用 于 它们 的 结果 (此 时 ， 
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图 6-19 说 明 exists 算法 的 一 个 BDD B, 


apply 函数 恰好 返回 其 第 2 个 参量 ) 。 

我 们 可 以 改进 这 种 算法 的 效率 。 考 虑 在 式 (6-3 ) 的 apply 阶段 发 生 的 事情 。 此 时 ， 
apply 算法 作用 在 两 个 BDD 上 ， 而 这 两 个 BDD 在 % 结 点 层 以 下 的 结构 完全 相同 。 因 此 ， 返 
回 的 BDD 在 * 结 点 下 也 具有 该 结构 。 在 * 结 点 处 ， 两 个 参量 BDD 不 同 ， 所 以 apply 算法 计 
算 这 两 个 子 BDD 作用 + 的 结果 ， 并 将 该 结果 作为 返回 的 子 BDD。 图 6-20 说 明了 这 个 过 程 。 
因此 ， 我 们 可 以 这 样 计 算 3x./ 的 OBDD: Wf 的 OBDD 并 将 标记 为 x 的 每 个 结 点 用 对 + 和 其 
两 个 分 支 调用 apply 的 结果 代替 。 





[oy Dy 
图 6-20 restrict(0, x,, B,)Mrestrict(1, x, B,) ， 以 及 对 它们 应 用 + 的 结果 
上 述 过 程 容易 推广 到 exists 操作 序列 的 情况 。 用 Ax. f RAR IA. Ax... Jx, f, wb 
处 x 表示 (x, ，x,，…，x,)。 这 个 布尔 函数 的 OBDD 由 的 OBDD 通过 将 以 x, 标记 的 每 个 结 
点 用 其 两 个 分 支 的 + 来 代替 而 得 到 。 
6-21 显示 了 用 这 种 方式 计算 3x.f 和 3x,. 9%.f( 它 语义 等 价 于 I. +y +y ) 的 情形 。 
布尔 量词 Y 是 了 的 对 偶 : 
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图 6-21 A dx,. ffl Ir. dx,.f%) OBDD 


Vx. f= f[0/x] + f[1/x] 


EMA: 置 x 为 0 或 1 可 使 /为 假 。 


使 用 本 节 算 法 将 布尔 公式 转化 为 OBDD 的 方法 总 结 在 图 6-22 中 。 











布尔 公式 了 OBDD 表示 By 
0 Bo( 图 6-6) 
1 B, (Œ 6-6) 
x B, (E 6-6) 
f 交换 Bj 中 的 0- 结 点 和 1- 结 点 
fre apply( +, By, B,) 
f'g apply(-, Bj, B,) 
Sog apply(®, By, B,) 
filz] restrict(1, x, By) 
f[0/x] restrict(0, x, Br) 
dx. f apply( +, Bitos)» Betsey) 
Vx.f apply( +, Byto/], Betsey) 


图 6-22 给 定 布尔 变量 的 一 个 固定 全 局 序 ， 将 布尔 公式 /转化 为 DBDD B, 


6.2.5 OBDD 的 评价 


计算 OBDD 的 时 间 复 杂 度 ”通过 给 出 关于 输入 0BDD 尺寸 的 运行 时 间 上 界 ， 可 以 度 
基 前 一 节 中 算法 的 复杂 度 。 图 6-23 中 的 表 总 结 了 这 些 上 界 (其 中 一 些 上 界 可 能 需要 比 本 章 
所 述 算法 更 复杂 的 版 本 才能 得 到 ) 。 除了 嵌 套 布尔 量词 外 的 所 有 运算 关于 所 参与 的 OBDD 
尺寸 都 是 有 效 的 。 于 是 ， 用 这 种 方法 建 模 非常 大 的 系统 还 是 可 行 的， 如 果 表 示 系 统 的 
OBDD 增长 不 太 快 太 大 。 若 我 们 多 少 能 够 控制 OBDD 的 大 小 ， 例 如 ， 通 过 好 的 启发 因素 选 
择 变 量 序 ， 则 这 些 操作 是 运算 可 行 的 。 业 已 证 明 ， 用 OBDD 建 模 某 些 类 型 的 系统 和 网 络 不 会 


过 度 增长 。 
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算法 输入 OBDD 输出 OBDD 时 间 复 杂 度 
reduce B 简约 的 B 0o(|8|. log | BI) 
apply B:，B, (简约 的 ) Brop a (简约 的 ) OC |B |e 1B, |) 

restrict Br( 简 约 的 ) Bio) R Bitir) (RAR) O( |B; ” log | B; |) 
3 By( 简 约 的 ) Baa 3,.…3,.( 简 约 的 ) NP 完备 的 


图 6-23 ”我们 实现 的 布尔 公式 算法 在 最 坏 情形 下 关于 输入 OBDD 的 运行 时 间 上 界 


高 代价 的 计算 操作 是 能 套 布 尔 量词 3a. …. 3z.f 和 Vz.…. Vz,.f/ 由 练习 6.10 的 1， 
给 定 的 OBDD, 计算 3z.…. Iz, fA OBDD 是 一 个 NP 完备 问题 s 。 于 是 ， 很 可 能 没有 可 
行 的 最 坏 时 间 复 杂 度 的 算法 。 这 并 不 是 说 建 模 实际 系统 的 布尔 函数 不 能 有 有 效 的 姐 套 布尔 量 
词 。 我 们 的 算法 的 性 能 可 以 通过 优化 方法 (比如 并 行 技术 ) 来 进一步 改善 。 

注意 ; apply, restrict 等 操作 只 对 输入 OBDD 的 大 小 是 有 效 的 。 因 此 ， 如 果 范 数 / 
没有 紧凑 的 OBDD 表示 ， 那 么 用 其 OBDD 计算 不 会 是 有 效 的 。 的 确 存在 这 样 令 人 讨厌 的 函 
数 。 其 中 一 个 是 整数 乘法 。 设 5,.16b,_，,…b。 和 aa …ao 是 两 个 位 整数 ， 其 中 六 ,和 
a MARL, W b, Ma, 是 最 低 有 效 位 。 这 两 个 整数 相 乘 得 到 一 个 2n 位 整数 。 于 是 ， 可 
以 将 乘法 看 为 关于 2n 个 变量 (输入 5 的 = 个 位 和 输入 a 的 m 个 位 ) 的 2m ABR RRS, fF, 表示 
乘积 的 第 i 输出 位 。 来 自 R. E. Bryant 的 下 列 否 定 结果 表明 OBDD 不 能 用 于 实现 整数 乘法 。 

定理 6. 11 f/f. 的 任何 OBDD 表示 至 少 需要 与 1.09" 成 比例 的 顶点 数 ， 即 其 尺寸 关于 了 
是 指数 的 。 

OBDD 的 扩展 和 变异 OBDD 数据 结构 有 很 多 变异 和 扩展 。 其 中 很 多 能 够 比 其 对 应 的 
OBDD 更 有 效 地 实现 某 些 运算 ， 但 看 起 来 没有 一 个 能 比 OBDD 更 全 面 。 特 别 地 ， 很 多 变异 都 
缺乏 标准 形 。 因 此 ， 它 们 缺少 一 个 判定 两 个 对 象 何 时 代表 相同 布尔 函数 的 有 效 算 法 。 

一 种 变异 是 除 布尔 变量 外 ， 还 允许 用 二 元 算 子 来 标记 非 终止 结 点 。 奇 偶 (parity) OBDD 
和 OBDD 一 样 有 变量 序 且 在 一 条 路 径 中 每 个 变量 至 多 出 现 一 次 。 但 某 些 非 终端 结 点 可 以 用 昼 
或 运算 子 田 标记 。 意 思 是 由 该 结 点 表示 的 函数 是 由 其 子 结 点 决定 的 布尔 函数 的 异 或 运算 。 奇 
偶 OBDD 有 与 apply，restrict 等 类 似 的 算法 ， 性 能 也 相同 ， 但 没有 标准 形 。 检 测 等 价 
性 不 能 在 固定 时 间 内 完成 。 而 确定 等 价 性 有 一 种 三 次 算法 ,而 且 有 有 效 的 概率 检测 。OBDD 
的 另 一 种 变异 允许 具有 明显 意义 的 互补 结 点 。 主 要 缺点 仍然 是 没有 标准 形 。 

我 们 还 可 以 允许 非 终端 结 点 不 标记 而 且 分 出 两 个 以 上 的 子 分 支 。 这 可 以 理解 为 不 确定 分 
支 或 者 概率 分 支 。 通 过 掷 一 对 般 子 来 决定 继续 哪 条 路 径 。 这 种 方法 可 能 计算 出 错误 的 结果 。 
目的 是 重复 测试 以 保持 (概率 ) 误差 小 到 如 我 们 所 需 。 这 种 重复 概率 测试 的 方法 称 为 概率 放 
大 (probablitistic amplification) 。 遗 憾 的 是 ， 关 于 概率 分 支 OBDD 的 可 满足 性 问题 是 NP 完备 
的 。 好 消息 是 ， 概 率 分 支 OBDD 可 以 验证 整数 乘法 。 

根据 特定 类 布尔 函数 的 需要 开发 OBDD 的 扩展 或 变异 是 当前 研究 的 一 个 重要 领域 。 


6.3 符号 模型 检测 


20 世纪 90 年 代 早 期 ，BDD 在 模型 检测 中 的 应 用 导致 了 验证 技术 的 重要 突破 ， 因 为 它们 
允许 待 验证 的 系统 具有 大 得 多 的 状态 空间 。 在 本 节 中 ， 我 们 详细 描述 如 何 用 OBDD 作为 基本 
数据 结构 来 实现 第 3 章 中 提出 的 模型 检测 算法 。 





日 另 一 个 NP 完备 问题 是 判定 命题 逻辑 公式 的 可 满足 性 。 
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图 3-28 所 示 的 的 代码 以 CTL 公式 由 作为 输入 ， 返 回 给 定 模型 中 满足 由 的 状态 集合 。 仔 
细 考 察 代 码 会 发 现 ， 该 算法 由 操作 中 间 状 态 集合 构成 。 本 节 中 ， 我 们 说 明 如 何 用 OBDD 存储 
模型 和 中 间 状 态 集合 ， 以 及 伪 代 码 所 需 的 操作 如 何 用 本 章 讲 过 的 OBDD 运算 实现 。 

首先 说 明 状 态 集 以 及 一 些 所 需 的 运算 如 何 表示 为 OBDD。 然 后 ， 将 这 种 表示 扩展 到 迁移 
系统 的 表示 。 最 后 说 明 余 下 的 所 需 运算 如 何 实现 。 

使 用 OBDD 的 模型 检测 称 为 符号 模型 检测 (symbolic model checking ) 。 这 个 术语 强调 不 
是 表示 单个 状态 ， 而 是 用 符号 表示 状态 的 集合 ， 即 满足 待 检测 公式 的 状态 集合 。 


6.3.1 表示 状态 集合 的 子 集 


设 $ 是 一 个 有 限 集 ( 暂 时 忘掉 它 是 状态 集 )。 现 在 的 任务 是 将 $ 的 各 种 子 集 表 示 为 
0BDD。 由 于 OBDD 编码 布尔 函数 ， 所 以 需要 将 $ 的 元 素 编码 为 布尔 值 。 做 到 这 一 点 的 一 般 
方法 是 为 每 个 eS 赋予 唯一 布尔 值 向 量 (v, ，v,，…，v,) ， 每 个 v,e l0, 1o RE, HTE 
7 表示 为 如 下 的 布尔 函数 广 : MR seT, MAK, n, =, v,) BL, BRB 0. 

KEX n 的 布尔 向 量 (v,，v,，…, vv,) 有 2" 个 。 因 此 ， 应 该 选择 满足 2"' < | S| <2" 
的 n 值 ， 其 中 1 S| BS 中 的 元 素 个 数 。 若 1 51 不 是 2 的 确切 宕 次 ， 就 会 有 某 些 向 量 不 对 应 
FS 中 任何 元 素 ， 只 需 忽略 它们 即 可 。 函 数 户 : 10，1} "一 10，1|} 称 为 7 的 特征 函数 。 它 告 
诉 我 们 : Mts eS, Hn, n, +, 2») 所 表示 的 状态 是 否 在 7 中 。 

在 S 是 迁移 系统 At =(S， 一 ，L)( 见 定义 3.4) 的 状态 集合 的 情形 下 ， 有 一 种 将 5 表示 
为 布尔 向 量 的 自然 选择 。 标 记 函 数 上 ，5 一 P(Atoms)( 此 处 P(Atoms) 是 Atoms 的 子 集 的 集 
合 ) 给 出 了 编码 方式 。 假 定 集合 Atoms 上 的 一 个 固定 序 ， 比 如 ，x, ，x,，…，%,， 然 后 用 向 
B(o,, n, +, 2,) 表 示 s eS， 其 中 对 每 个 i, 车 x,eL(s)， 则 vw,=1; 否则 vw, =0。 为 确保 每 
个 * 有 唯一 的 布尔 向 量 表示 ， 要 求 对 所 有 s, ，s e S，L(s ) =L(s,) MMs, = s,。 如 果 不 是 这 
种 情况 ， 也 许 是 由 于 2'*"' < | S1 ， 为 确保 不 同 ， 额 外 添加 一 些 原子 命题 (参考 3.3.4 节 
互 斥 中 turn 变量 的 引入 ) 。 

从 现在 起 ， 用 其 布尔 向 量 (v, ，v, ，…，w, ) 表示 来 参考 ye S， 其 中 若 e L(s)， 则 v, 为 
1; 否则 为 0。 作 为 OBDD， 这 个 状态 用 布尔 函数 L 1,. … + 1, 的 OBDD RRR, HHH 
Xi EL(S) ,1 为 *;， 否 则 为 z;,。 状 态 集合 1s, s, e, s) 由 布尔 函数 

(ha t dye La) + Cha è da te ) tt laa) 
的 OBDD Rm, HL, + la + … + 1, RARE s,。 
使 这 种 表示 有 意思 的 关键 在 于 表示 状态 集 的 OBDD 可 能 相当 小 。 
例 6. 12 考虑 图 6-24 中 的 CTL 模型 ， 已 知 如 下 ; 


S| 5,5, ,5,| 
E] (55451) (51 582) (5, 689) , (S285) | 
LCs) =x] 
L(s, )={x,} 
L(s,)=@ 
注意 这 个 模型 具有 性 质 : 对 所 有 状态 s, Ms, L(s,) =L(s,) 蕴涵 s， =s, H—-+*+RAH 
在 其 处 为 真 的 原子 公式 完全 决定 。 关 于 序 [x, ，x, ] ， 状 态 集合 可 由 布尔 值 和 布尔 公式 表示 ， 
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如 图 6-25 所 示 。 


状态 集合 
@ 
fso} 
fsi} 
1s} 
{so, si} 
fso, s2} 


{sis s2} 
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图 6-24 一 个 简单 CTL 模型 ( 例 6. 12) 


布尔 值 表 示 


,0) 
，1) 


图 6-25 


,1), (0, 0) Ht hy + XI Ky, +X, * Fy 


布尔 函数 表示 





，1) Ky hy t+ Ry * Hy 
, 0) ky hg +k, * dy 


, 0) Ky Ky + XI Ky 


图 6-24 中 模型 的 状态 子 集 的 表示 


注意 ， 向 量 (1，1) 和 对 应 的 函数 x， . x, 未 使 用 。 因 此 ,在 $ 的 子 集 表 示 中 ， 可 以 随意 
地 包含 或 不 包含 它 。 为 了 优化 OBDD 的 尺寸 ， 可 以 选择 包含 它 还 是 不 包含 它 。 例 如 ， 了 于 集 
{so> 5, } 用 布尔 函数 x, +r, 表示 更 好 些 ， 因 为 它 的 OBDD HE x x, +a, +x, 更 小 (图 6-26)。 


图 6-26 





集合 fs ，s | 的 两 个 OBDD( 例 6. 12) 


为 了 说 明 $ 的 子 集 表示 为 OBDD 适合 3. 6. 1 节 提 出 的 算法 ， 需 要 考察 该 算法 中 用 到 的 子 
集运 算是 如 何 用 已 经 定义 过 的 OBDD 的 运算 来 实现 的 。 

© 子 集 的 交 、 并 和 补 。 显 然 ， 这 些 运算 可 分 别 表示 为 布尔 函数 . 、+ 和“”。 通 过 OBDD 实现 .和 + 使 

FA apply 算法 (6.2.2 节 )。 


。 函数 


pre, (X) 
prey (X) 


fs e S| ##s',(sos' Hs’ & X)} 


6-4 
{sl 对 所 有 s',(s 一 s' BM s e X)} (6-4) 


函数 pre, (SAT,, 和 SATeo 中 的 工具 ) 以 状态 子 集 丰 作 输 入 并 返回 可 以 迁移 进 站 中 的 状态 集合 。 函 数 
prey (用 于 SAT,; ) 输 入 集合 民 并 返回 仅 一 次 就 迁移 进 站 的 状态 集合 。 为 了 看 到 如 何 用 OBDD 实现 这 
些 运算 ， 首先 需 要 看 迁移 关系 本 身 如 何 表 示 。 
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6. 3.2 表示 迁移 关系 


模型 AM = (S， 一 ,上 ) 的 迁移 关系 一 是 5 x 5 的 子 集 。 我 们 已 经 看 到 : 通过 考虑 一 个 二 进 
制 编码 的 特征 函数 ， 一 个 给 定 有 限 集 的 子 集 可 以 表示 为 OBDD。 
像 $ 的 子 集 情况 一 样 ， 这 种 二 进 制 编码 自然 由 标记 函数 虐 给 出 。 因 为 一 是 5S x5 的 子 集 ， 需 
要 布尔 向 量 的 两 个 副本 。 于 是 ， 关 联 ss AAR o, w, 0, o), (of, of, =, oR 
示 ， 其 中 若 p;eL(s)， 则 为 1。 否 则 为 0。 类 似 地 ,车 p,eL(s')， 则 vw! 为 1， 否 则 为 0。 作 
为 0BDD， 关 联 可 由 布尔 函数 
(Lye deeb) + (Ue Beee) 
的 OBDD 表示 ， 而 关联 的 集合 (例如 ， 整 个 关系 一 ) 是 这 些 公式 + 的 OBDD。 
例 6. 13 为 了 计算 图 6-24 中 迁移 关系 的 OBDD， 先 将 其 表示 为 真 值 表 (图 6-27a) 。 最 
后 一 列 中 的 每 个 1 对 应 迁移 关系 中 一 个 关联 ， 每 个 0 对 应 没有 关联 。 通 过 将 最 后 一 列 为 1 的 
行 析 取 得 到 的 布尔 函数 是 
SOK (6-5) 
对 一 来 讲 ， 通 常 在 ODBB 变量 序 中 交错 使 用 没有 撤 和 有 撤 的 变量 更 高 效 。 因 此 ， 使 用 [ x， 
x1，%2，%2] 而 不 是 [x,，x,，x1，x2]。 图 6-27b 显示 了 具有 交错 列 序 重 画 后 的 真 值 表 ， 行 用 
字典 序 进行 了 重 徘 。 结 果 OBDD 显示 在 图 6-28 中 。 


























XL 和 2 xi Xa 一 xy xi 2 x3 一 
0 0 0 0 1 0 0 0 0 1 
0 0 0 1 0 0 0 0 1 0 
0 0 1 0 1 0 0 1 0 1 
0 0 1 1 0 0 0 1 1 0 
0 1 0 0 1 0 1 0 0 1 
0 1 0 1 0 0 1 0 i 0 
0 1 1 0 0 0 1 1 0 0 
0 1 1 1 0 0 1 1 1 0 
1 0 0 0 0 1 0 0 0 0 
1 0 0 1 1 1 0 0 1 1 
1 0 1 0 0 1 0 1 0 0 
1 0 1 1 0 1 0 1 1 0 
1 1 0 0 0 1 1 0 0 0 
1 1 0 1 0 1 1 0 1 0 
1 1 1 0 0 1 1 1 0 0 
1 1 1 1 0 1 1 1 1 0 
a) Ra [z], x, x}, 23] b) HERF s, ，xi ，x2 ， 妈 ]( 行 按 字典 序 排列 ) 


图 6-27 图 6-24( 见 例 6. 13) 中 迁移 关系 的 真 值 表 


6. 3.3 实现 函数 pre, 和 pre, 


剩 下 就 是 说 明 给 定 下 的 OBDD B, 和 迁移 关系 一 的 OBDD 8,， 如 何 计算 pre, (X) 和 
prey (XX) 的 OBDD。 首 先 ， 我 们 观察 到 pre, (X) 可 以 用 补 和 pre; 表示 如 下 : pre, (X) =S- 
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K 6-28 6.13 中 迁移 关系 的 OBDD 


prea(S -X) ， 用 SS- 了 表示 不 在 了 中 的 所 有 ses3$S 的 集合 。 因 此 ， 只 需 解释 如 何 用 B,， MB, 
计算 pre, (X) AY OBDD 即 可 。 式 (6-4) 建 议 应 该 如 下 进行 : 

1B, 中 的 变量 用 带 撤 的 版 本 重新 命名 ， 所 得 到 的 OBDD 记 为 Bro 

2. 使 用 apply Ml exists 算法 (6.2.2 节 和 6.2.4 节 ) 计 算 exists(x’, apply(:, B_, Bx)) 的 
OBDD, 


6.3.4 综合 OBDD 


例 6. 13 用 于 生成 迁移 关系 OBDD 的 方法 是 ， 先 计算 真 值 表 ， 然 后 可 以 得 到 一 个 可 能 不 
是 完全 简化 形式 的 OBDD。 因 此 需要 最 后 调用 reduce 函数 。 然 而 ， 如 果 将 其 运用 到 具有 大 
量变 量 的 现实 的 系统 上 ， 这 个 过 程 是 不 可 接受 的 ， 因 为 真 值 表 的 尺寸 关于 布尔 变量 的 个 数 是 
指数 关系 。 因 此 ， 将 OBDD 应 用 于 有 限 系统 的 关键 思想 和 引 人 注 目 之 处 在 于 ; 采用 一 种 像 
SMV 的 系统 描述 语言 ， 直 接 综 合 OBDD， 无 需 通 过 大 小 为 指数 关系 的 中 间 表 示 (诸如 二 叉 判 
定 树 或 真 值 表 ) 。 

SMV 允许 依据 变量 的 当前 值 定义 变量 的 下 一 个 值 ( 见 3.3. 2 节 的 代码 例子 )9 。 这 可 以 纺 
译 为 布尔 函数 的 集合 (每 个 变量 x, 对 应 一 个 ) ， 它 用 所 有 变量 的 当前 值 定义 x, 的 下 一 个 
值 。 为 处 理 非 确 定 赋值 (如 3.3.2 节 中 对 status 的 赋值 )， 我 们 添加 用 于 建 模 输入 的 无 约 
束 变量 来 扩充 变量 集合 。 每 个 x 都 是 这 个 扩充 变量 集合 的 确定 函数 。 于 是 ，x:*>f ， 其 中 fe 
g =1 ARSAM g HAAK, MEE O 的 缩写 。 

因此 ， 表 示 迁 移 关系 的 布尔 函数 形 为 


IT xof, (6-6) 


lignan 


其 中 TT eee: …e, 的 缩写 。 注意 匡 的 范围 只 涉及 非 输 和 变量。 这样， 若是 一 个 输 


O SMV 还 允许 用 后 续 值 定义 后 续 值 , 即 : 关键 词 next 可 以 出 现在 表达 式 : = 的 右边 。 比 如 ， 描 述 同步 是 有 用 的 ， 
但 此 处 我 们 忽略 这 个 特性 。 
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入 变量 ， 则 该 布尔 函数 不 包括 任何 uofo 

图 6-22 显示 如 何 由 这 样 一 个 布尔 函数 的 语法 分 析 树 计算 简约 OBDD。 于 是 ， 有 可 能 将 
SMV 程序 编译 成 OBDD ， 使 其 规范 可 以 根据 函数 SAT( 在 OBDD 上 解释 ) 的 伪 代 码 执行 。 在 
6.4.2 节 ， 将 看 到 这 个 OBDD 实现 可 以 扩展 到 简单 公平 性 限制 。 

建 模 顺 序 电路 ”作为 OBDD 对 验证 的 男 一 种 运用 ,我们 说 明 表 示 电 路 的 OBDD 如 何 进 
行 综合 

同步 电路 (Synchronous circuits), (Ri MA 6-29 所 示 的 顺序 电路 设计 。 这 是 一 个 同步 电 
路 (意味 着 所 有 状态 变量 并 行 地 同步 更 新 ) ， 其 功能 可 以 描述 为 : 它 告诉 我 们 在 电路 的 下 一 
状态 下 寄存 器 x, Al x, 的 值 是 什么 。 编 码 电路 下 一 可 能 状态 的 函数 . 广 是 

(aie i) (ea @ x) (6-7) 

用 图 6-22 所 总 结 的 方法 ， 将 其 转化 成 OBDD。 





图 6-29 具有 两 个 寄存 器 的 简单 同步 电路 


异步 电路 ( Asynchronous circuits) 在 逻辑 结构 上 ， 同 步 电 路 的 符号 编码 和 CTL 模型 的 
三 编码 非常 相似 。 比 较 式 (6-7) 和 式 (6-6) 中 的 编码 。 在 异步 电路 或 SMV 的 过 程 中 , SRO 
辑 结构 改变 。 和 以 前 一 样 ， 可 以 构造 函数 片 ， 用 局 部 成 分 (local component) 或 SMV BIE i 
码 可 能 的 下 一 状态 。 对 异步 系统 ， 将 这 些 函 数组 合成 全 局 系统 行为 主要 有 两 种 方法 : 

。 在 同时 模型 (simultaneous model) 中 ， 整 体 迁 移 指 任何 数量 的 成 分 都 可 做 局 部 迁移 。 这 可 以 建 模 为 : 


FATT EiS) + (ele) (6-8) 

。 在 交错 模型 (interleaving model) 中 ， 恰好 一 个 局 部 成 分 作 局 部 迁移 。 所 有 其 他 局 部 成 分 保持 其 局 部 
RA: 

rS (Gies) + JP jr) (6-9) 


观察 这 些 处 理 中 的 对 偶 : 同时 模型 有 外 积 ， 而 交错 模型 求 外 部 和 。 后 者 如 果 用 于 了 疗 ， 
太 “对 某 个 下 一 状态 ) 中， 可 以 进行 优化 ， 因 为 求 和 对 存在 量词 是 分 配 的 。 在 第 2 章 中 ， 这 
是 等 价 3x. (加 vy) = 9x.gYv3x.yW。 于是, 一 步 可 达 的 全 局 状态 是 局 部 成 分 中 一 步 可 达 的 
所 有 状态 的 “并 ”。 将 式 (6-8) 和 式 (6-9) 与 式 (6-6) 进 行 比较 。 


6.4 关系 上 演算 


在 3.7 节 中 我 们 看 到 : 计算 模型 中 满足 CTL 公式 的 状态 集合 涉及 算 子 的 不 动 点 计算 。 
fim, [[EFp]] Æ h F(X) =[[$]] Upre3(X) 给 出 的 算 子 F:， P(S) 一 P(S) 的 最 小 不 动 点 。 
在 本 节 中 ， 引 进 在 布尔 公式 环境 下 论 及 不 动 点 的 一 种 语法 。 不 动 点 不 变量 经 常 出 现在 
所 有 类 型 的 应 用 中 (例如 ， 第 5 章 中 的 公共 知识 算 子 Ce) ， 因 此 有 一 种 语法 表达 这 种 不 变 
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量 的 中 介 语 言 是 有 意义 的 。 这 种 语言 还 提供 了 描述 这 些 不 变量 的 交互 与 依赖 的 形式 机 制 。 
很 快 我 们 就 会 看 到 ， 出 现 简 单 公 平 性 约束 的 符号 模型 检测 就 显现 出 不 变量 间 的 这 种 更 复 
杂 的 关系 。 


，6. 4.1 语法 和 语义 
定义 6. 14 关系 演算 的 公式 由 下 列 语法 给 出 : 


vii=xl Z 
fesOlllolfifi+fKlh-fKlA@FI (6-10) 
Ja. fl Vx. fl pZ. fl vZ fl fl e227] 

其 中 x 和 2Z 是 布尔 变量 ，x 是 多 变量 元 组 。 在 公式 jw. 2Z.f 和 w2Z.f 中 ,2 在 f 中 的 任何 出 现 必 
须 落 在 偶数 个 补 符号 -之 内 。 这 样 的 称 为 关于 Z 是 形式 单调 的 。( 在 练习 6.14 的 7 中 ， 考 
虑 如 果 不 要 求 形式 单调 会 发 生 什 么 情况 。) 

约定 6. 15 式 (6-10) 中 语法 的 绑 定 优先 级 如 下 : ~ Mle: =*'] 的 优先 级 最 高 ， 其 次 是 
3x 和 Vy; 再 次 是 上 4Z 和 w2Z， 随后 是 .。 算 子 + 和 四 的 优先 级 最 低 。 

符号 上 和 vw 分 别称 为 最 小 不 动 点 和 最 大 不 动 点 算 子 。 在 公式 j.2.f 中 ， 有 意思 的 情况 是 
包含 Z 的 出 现 。 此 时 , /可 以 理解 成 为 将 Z 映 为 1 的 函数 。 公式 .2Z.f 试 图 表达 该 函数 的 最 
小 不 动 点 ; 类 似 地 ，vZ.f 是 该 函数 的 最 大 不 动 点 。 我 们 将 在 语义 中 看 到 如 何 做 到 这 一 点 。 

公式 f[x*: = 纪 ] 表 达 一 个 显 式 蔡 换 : 强制 用 x! 的 值 而 不 是 x, 的 值 来 计算 (Rid 
变量 指 下 一 状态 ) 。 于 是 ， 这 种 语法 形式 不 是 用 来 表达 替换 的 元 运算 ， 而 自身 就 是 一 种 显 式 语 
法 形式 。 替 换 将 在 语义 层面 而 不 是 语法 层面 进行 。 当 介绍 上 的 语义 时 ， 这 种 区 别 将 会 很 明显 。 

f 的 赋值 p 是 对 所 有 变量 "指派 0 或 1 值 。 给 定 赋值 p， 对 公式 /的 结构 归纳 地 定义 一 个 
满足 关系 p 上 fo. l 

定义 6.16 设 p 是 一 个 值 , v 是 一 个 变量 。 用 p(w) 表示 ees RRNA. EM 
pP Lv 中 0] 为 将 0 BRA v, 而 将 所 有 其 他 变量 w 指派 为 p(w) 的 更 新 赋值 。 对 偶 地 ， plore 
1] 将 1 指派 给 "， 将 所 有 其 他 变量 w 指派 为 p(w)。 

例如 ， 若 p 是 用 (x,，y,，2Z) 寺 (1，0，1) 所 表示 的 赋值 ， 其 含义 为 p(x) =1, p(y) =0, 
e(Z) =1， 且 对 所 有 其 他 变量 vo, p(w) =0, BA, plx 0] 表示 为 (x, y, Z)=(0, 0, 1), 
而 pL[Z 局 0] 表示 为 (x, y, Z)=(1, 0, 0), 赋值 将 值 指 派 给 所 有 变量 的 假设 相当 数学 化 ， 
但 避免 了 实现 中 必须 要 解决 的 一 些 复杂 问题 ( 见 练习 6. 14 的 3)。 

更 新 赋值 允许 对 没有 不 动 点 的 所 有 公式 定义 满足 关系 ; 

定义 6.17 对 关于 赋值 p 没有 不 动 点 子 公 式 的 公式 通过 结构 归纳 定义 满足 关 
系 p Ff: 

e pFO 

. pHi 

。 pF» 4AM p(v) SF 1 

e pF 4AM prf 

。 pF ft+g4ARMY4pESRpEe 

*pEf-¢4AM4pESApEeg 


e pE Og 4AMMpEYS- z+f -2) 
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© pF Jr. f KAN pirm 0]Ff 或 pL[x 中 1]JFf 

© pEV«.f 4BM4p[xO]E fH pix 1]Ef 

e pEfls:=2')4AU4 ol r= JES, 

其 中 p[ xe: =2'] RAM: 除了 将 每 个 x; 指派 为 p(%) 以 外 ， 其 余 指 派 与 p 相同 。 

布尔 量词 的 语义 与 谓词 逻辑 量词 的 语义 非常 相似 。 然 而 ， 关 键 差别 在 于 布尔 公式 只 能 在 
国定 的 值 域 10，1} 上 解释 ， 而 谓词 公式 可 以 在 各 种 各 样 的 有 限 或 无 限 模型 上 取 值 。 

例 6.18 假设 p 使 p(xi) 等 于 0 且 p(zx;) 为 1, 计算 pF(x, +x*,)[x:=x']。 当 且 仅 当 
ple:=2’]F(*,+2,)M, Eto, FR, BE ple: =x’ ]E x MH ple: =x] Ee, 成 立 。 
现在 ，p[*:=x']F x 不 成 立 ， 因 为 这 意味 着 p(x!) =1 AW pl x: =x']Fzx, BM ple: =] 
Kx, HAF p(x, ) SF 1, RPE ple: =2']Ka,, BE, WB p K(x, +2,)[4:=2']. 

现在 将 F 的 定义 扩展 到 不 动 点 算 子 人 和 vv 上。 它们 的 语义 必须 反映 出 其 分 别 作为 最 小 及 
最 大 不 动 点 算 子 的 意义 。 通 过 其 语法 逼近 ( 它 展 开 了 2Z.f 的 意义 ) 定 义 j2.f 的 语义 : 

BZ. f=0 
Mnak-f=flu, Z.f/Z] (m>0) (6-11) 

展开 是 通过 元 运算 [g/2Z] 达 到 的 ， 将 其 作用 于 公式 /时 ，2Z 在 上 中 的 所 有 自由 出 现 都 用 g 
代替 。 于 是 ， 将 AZ 视 为 与 量词 Vx MIs 相似 的 绑 定 构造 ， 而 [gs/2Z] 类 似 于 谓词 逻辑 中 的 替换 
[zx]。 例如 ， (x, + 4x. (Z. %))[%,/Z] EAR x, + dx. (%, . xy), 而 ((A Z. x, +Z): 
(x+ 3x (Z. x,))) [2 /Z]ÆAR (uZ. x +Z). (x+ x,. (%,° %,))。 至 于 这 个 元 运 
算 的 形式 阐述 ， 见 练习 6. 14 的 3。 

用 这 些 逼 近 式 可 以 定义 : 

PFj2Z.f 当 且 仅 当 对 某 个 m 宇 0，p Fp,2.f (6-12) 

于 是 ， 为 了 确定 2Z./ 关 于 赋值 p XA, BARAHA mS0, E4 p Fun 2Z.f 成 立 。 一 
个 明智 的 策略 是 对 最 小 可 能 的 m 证 明 这 一 点 ， 如 果 这 样 的 m 确实 能 找到 。 例 如 ， 为 证 明 p E 
BZ.Z, BA p F jvo2. Z。 这 个 关系 不 成 立 ， 因 为 后 一 个 公式 是 0。 现 在 pw,2.2Z 定义 为 
Z[uZ. Z/Z]， 它 还 是 mZ. Z。 现 在 ,我 们 可 以 用 数学 归纳 法 对 所 有 m>0, 证 明 ,2.2 等 
于 jo2Z. 2Z。 由 式 (6-12)， 这 蕴涵 pj2. Z. 

vZ.f 的 语义 与 2.f 了 类似。 首先， 定义 一 族 通 近 v ZS, vZ, 

v.f 1 


Unni Z f =flv,Z.f/Z] (mz 0) (6-13) 
注意 这 个 定义 与 ,2,f 的 仅 有 差别 在 于 第 一 个 逼近 定义 为 1 而 不 是 0。 
.回顾 EG 的 最 大 不 动 点 要 求 p 在 某 个 路 径 的 所 有 状态 下 都 成 立 。 这 种 不 变 行为 不 能 用 
像 式 (6-12) 那 样 用 条 件 来 表达 , -但 可 以 适当 地 定义 为 : 
PFwv2Z.f 当 且 仅 当 对 所 有 mm 宇 0，pFv,2.f (6-14) 
上 述 推 理 的 一 个 对 偶 推 理 表明 ， 无 论 p 是 什么 都 有 p 上 o. Z, 
理解 式 (6-12) 和 式 (6-14) 中 定义 的 非 形式 的 方法 是 ， p F w2. /为 假 ， 直 到 如 果 能 证 明 它 
成 立 。 而 pF v2.f 为 真 ， 直 到 如 果 能 证 明 它 为 假 。 式 (6-11) 或 式 (6-13) 中 递归 的 展开 编码 
了 时 态 方面 。 
为 证 明 这 种 用 于 规范 说 明 pf 的 递归 方法 是 良 定义 的 ， 必 须 考虑 更 一 般 的 归纳 形式 ， 
不 仅 要 追踪 的 语法 分 析 树 的 高 度 ， 还 要 追踪 语法 逼近 uZ g M,Z h 的 个 数 ， 它们 的 
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“ 度 ”( 在 这 种 情况 下 是 m 和 nn)， 以 及 它们 的 “交替 ”( 不 动 点 体内 可 能 包含 语法 分 析 树 中 更 
高 阶 递归 的 自由 出 现 变 量 ) 。 这 可 以 做 ， 然 而 我 们 不 在 这 里 详细 讨论 。 


6.4.2 对 CTL 模型 及 规范 说 明 的 编码 


给 定 CTL 模型 At =(S, >, L), u 和 vw 算 子 允许 将 CTL AR o REIER p RAHA 
Rf, PRRBB sEO 的 状态 se 5 的 集合 。 由 于 已 经 知道 如 何 将 状态 子 集 表示 为 这 样 的 公 
È, 我 们 可 以 用 纯 符号 形式 处 理 是 否 所 有 初始 状态 se 1 都 满足 $ 的 模型 检测 问题 : 

M,I ÈQ (6-15) 
车/'. f* 是 不 可 满足 的 ， 其 中 /是 155 的 特征 函数 ， 则 回答 是 肯定 的 。 否 则 ， 可 以 从 探索 


ff? 的 逻辑 结构 中 抽取 纠正 模型 人 { 的 调试 信息 ， 使 式 (6-15 ) 为 真 。 
回顾 我 们 是 如 何 将 迁移 关系 一 表示 为 布尔 公式 广 的 ( 见 6.3.2 节 )。 同 以 前 一 样 ， 假 定 
状态 编码 为 位 向 量 (v,，v,，…，v,)， 使 得 所 有 函数 /* 的 自由 布尔 变量 都 为 向 量 * 所 包含 。 
现在 ，CTL 公式 $ 用 关系 演算 函数 ?的 编码 可 归纳 地 给 出 如 下 : 
fsx ”对 于 变量 x 
fro 
PE 


fre pe. ft 
SPOS Fk (f+ fPl ere £]) 
需要 解释 一 下 关于 EX 的 语句 。 变 量 wx 指 当前 状态 ， 而 *: 指 下 一 状态 。CTL 的 语义 说 的 
E s E EX 4AM YER 8’, WE sos 和 s*F 四。 该 布尔 公式 编码 这 个 定义 ， 恰 好 为 这 
种 情况 时 计算 出 1。 车 用 # 建 模 当 前 状态 83， 则 宫 建 模 一 个 可 能 的 后 继 状态 ， 如 果 广 (关于 (zt， 
他 ) 的 函数 ) 成 立 。 为 表达 “存在 某 个 后 继 状 态 ” ， 使 用 嵌 套 布尔 量词 人。 还 注意 到 对 了 * 实 施 
[2: =#'] 的 预期 效果 ， 因 此 “迫使 "4 在 某 个 后 续 状态 为 真 e。 
EF 语句 更 复杂 ， 涉 及 几 算 子 。 回 顾 等 价 
EF = ġ ^ EX EFY (6-16) 
因此 ， SEB fe +f, MEO + ae Li] BE, Ae 
EF 涉及 计算 由 等 价 式 (6-16) 导 出 的 算 子 的 最 小 不 动 点 ， 我 们 得 到 
SZ ph. (f+ Ae (fT Ze £')) (6-17) 
注意 替换 Z[*: = 客 ] 的 含义 是 使 布尔 函数 Z 依赖 于 变量 *!， 而 不 是 变量 10 KER p E 
ZIS: i +R WAR pli] Z， 而 后 一 个 赋值 满足 p[2; =2'](2,) =pl) RE 





日 ”练习 6.14 的 6 给 你 一 种 感觉 [x*:= 字 ] 的 语义 不 干扰 f 内 可 能 的 3 刘 或 V 襄 量词。 例如, 为 了 计算 PEC AL. 
Ale), WM ple =e] EAL fo WR RB RHA Co, oy, =, o) e 10, 1}" HM pls: =] 
[apt] [pro o] [eo IE SPR, CHA, ERBARIO A SEA o, 而 所 有 其 他 值 则 
根据 p[*: = 2" ETRE; BAER x; BEAP), KER RUA, 这 恰好 是 为 了 防止 意向 语义 出 现 变 
量 名 冲突 所 需要 的 结果 。 


还 记得 OBDD 实现 以 自 底 向 上 的 综合 公式 ， 故 3 x. 了 的 简化 OBDD 不 包括 任何 x! 结 点 , 因为 其 函数 不 依赖 于 这 
些 变量 。 于 是 ，0OBDD 也 避免 了 这 种 命名 冲突 问题 。 
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用 修改 后 的 赋值 p[*: =x'] 来 计算 Z。 
因为 EFS SOF ELT U 中] ， 可 以 由 此 将 EF4 的 编码 推广 为 
ferro az. (f+ fe: 本 x’. (f° + Z[ 4:5 “'))) (6-18) 
AF 的 编码 与 式 (6-17) 中 EF 的 编码 类 似 ， 不 同 的 是 用 "对 所 有 ”( 布 尔 量词 Y ae’) 替换 
“MSE LR” (CAR Bi de’), HH AROS .2Z[*; =x ER ARS + Z[ 82 = 20"); 
fe uz. f+ WE fo + Zl hie 你 ]) (6-19) 
注意 式 (6-12) 中 AZ.j 的 语义 如 何 反应 了 AF 联结 词 想 要 表达 的 意思 。/*“* 的 第 m PB 
GOW fe ) 表 示 这 样 的 状态 : 所 有 路 径 在 m 步 以 内 到 达 由 状态 。 

剩 下 就 是 编码 EG 了 ， 因 为 我 们 为 CTL 的 适当 片段 提供 了 编码 (回顾 定理 3.17)。 由 于 
EG 涉及 计算 最 大 不 动 点 ， 使 用 v 算 子 : 

F Eo. (fee 3 (fT Zhe £])) (6-20) 

这 的 确 可 以 由 EG 的 语义 逻辑 结构 得 到 : 我 们 需要 在 当前 状态 下 证 明 中， 然后 找到 满足 
EG 的 某 个 后 继 状 态 。 关 键 点 在 于 这 个 任务 永 不 中 止 ; 这 恰好 是 式 (6-14) 所 保证 的 。 , 

我 们 来 看 这 些 编码 对 图 6-24 的 模型 的 具体 应 用 。 我 们 想 对 公式 EX(x, va x, ) 实施 符号 
模型 检测 。 使 用 如 第 3 章 的 标记 算法 ， 应 该 验证 [ [EX(x, v 一 x,)]] = ls ，s}。 我 们 断言 : 
这 个 集合 可 由 结果 公式 f™*v “符号 地 计算 出 来 。 首 先 ， 计 算 表示 迁 移 关 系 一 的 公式 广 ， 

f = (XX) (x,>x) 
其 中 心 是 用 于 建 模 非 确 定性 的 输入 变量 (对 比 6.3.4 节 中 迁移 关系 的 形式 (6-6))。 于 是 ， 
得 到 
FOND = Jaje Jage (ff Lx £]) 
= day: Jaze ((x1 z, z, +u). (xherx,) 。 (xi 十 天 2) ) 

为 看 出 s 是 否 满足 EX (x, yn), HR p ESO, ppl) =1, p(x.) = 
0(po(w) 的 值 无 关 紧 要 )。 我 们 发 现 这 并 不 成 立 ， 因 此 s,。 KEX (x， v 一 x,)。 同 理 ， 通 过 证 明 
pi EAEN AHE s, 上 EX(x, Yoa); WEM p, E fN RE s, 上 EX(x, v7 
x), HP p 是 表示 状态 s 的 赋值 。 

作为 第 二 个 例子 ， 对 图 6-24 中 的 模型 计算 Oh 2 。 首 先 ， 如 果 对 该 显 式 模型 应 用 
标记 算法 ,我 们 注意 到 所 有 三 个 状态 9 都 满足 AF( 一 x, an) 。 我 们 来 验证 符号 编码 与 这 个 
结果 相 匹 配 。 由 式 (6-19),，/*" "个 "等 于 

BZ. ( (2, KE2) + Yai Wah (xja, iau) e (a x) e ZUe £']) (6-21) 
HR (6-12), Ape fh A) 4 A 4p ms0, Ape SOA) 。 显 然 ， 我 们 
Ai p Ef A Ame) > 现在 A 等 于 
(C4, °%,) + Vai. Vx. (xere Xa e u) + (x3eox,) > Z[e:= %'])[0/Z] 
由 于 [0/2Z] 是 元 运算 ， 后 一 个 公式 不 过 是 
(E, E) + Wai Wah. (2O, Eu) e (xbox) O £7] 
于 是 ， 我 们 需要 在 p 下 计算 析 取 式 (z， 0) + Yarl Val. (XO, - Z, © u) e (%54x,) 。 
O[s: =]. HH, Æ pla) =0 H p(x,) =0, Mp Ez, č, AMpe(s,+%,) + Vat. 





日 ”由 于 加 入 了 变量 w, 所 以 事实 上 有 六 个 状态 。 它 们 都 满足 该 公式 。 
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Vaz. (xiex, tz, tu). (xx)? Ok] FE, s, F AF( 7x, 八 一 x,) 成 立 。 
相似 的 推理 可 以 验证 式 (6-21) 中 的 公式 可 产生 对 剩 下 两 个 状态 的 正确 编码 。 作 为 练习 ， 
试验 证 这 个 结果 。 
带 有 公平 性 的 符号 模型 验证 ”在 第 3 章 中 ， 我 们 概述 了 SMV 如何 使 用 CTL 及 其 语义 无 
法 完全 表达 的 公平 性 假设 。 通 过 将 通常 CTL 语义 限制 到 公平 计算 路 径 或 公平 状态 ， 加 入 公 
平 性 是 可 以 达到 目的 。 形 式 上 ， 给 定 CTL 公式 集 C = fy, pa s pl, RAAPA R, 
对 CTL 公式 由 和 所 有 初始 状态 *， 要 检验 *F 由 是 否 成 立 ， 满 足 C 中 附加 的 公平 性 约束 。 因 
AL, 7, EX, EU 和 EG 形成 CTL 联结 词 的 适当 集合 ， 我 们 可 以 只 限于 讨论 这 些 算 子 。 显 
然 ， 对 于 添加 的 公平 性 约束 ， 命题 联 结 词 不 会 改变 其 意义 。 因 此 ， 只 须 为 第 3 章 的 公平 联结 
W E.X, E, U 和 EcG 提供 符号 编码 就 够 了 。 关 键 是 把 公平 状态 集合 符号 地 表示 为 如 下 定义 
的 布尔 公式 fair: 
fair == freeT (6-22) 
它 使 用 了 (仍然 待定 义 的 ) RS, TERE. REPO 的 编码 是 正确 的 ， 我 们 看 到 
在 状态 s 下 fair 计算 出 1， 当 且 仅 当 存在 一 条 关于 C 的 公平 路 径 开始 于 s。 我 们 称 这 样 的 ;为 
公平 状态 。 
EFEX, 注意 到 s 上 EcXg 当 且 仪 当 存 在 某 个 满足 -3s' 和 sg$ 的 下 一 状态 s， 使 得 s 
是 公平 状态 。 这 立刻 导致 定义 ， 
FE Ft (f+ (f+ fair) [A:= £']) (6-23) 
类 似 地 ， 我 们 得 到 
SETE uZ. (f fair + je 3 (f+ Zle £’])) (6-24) 
P FHES REE 产 “*。 正 是 这 最 后 一 个 连接 词 揭示 了 实际 做 公平 性 检测 的 复杂 性 。 
由 于 广 扩 的 编码 相当 复杂 ， 我 们 分 几 步 进行 。 直 接 在 布尔 公式 的 水 平 有 EX 和 EU 的 功能 是 
方便 的 。 例 如 ， 车 /是 关于 x 的 布尔 函数 ， 则 checkEx(f) 编码 如 下 的 布尔 公式 ， 该 公式 在 
向 量 * 处 计算 出 1， 如 果 * 有 下 一 状态 * 使 f 计 算出 1; 
checkEX(f) = 4 £. (f7 f[#:= £']) (6-25) 
FE, fF checkex(f® fair) 。 对 关于 个 参量 # 的 函数 上 和 &， 我 们 按 相同 的 方法 
进行 得 到 checkEU(A，g) ， 它 在 # 处 计算 出 1， 如 果 存 在 一 条 路 径 实现 AU g 模式 ， 


checkEU(f,g) =Y. g + (f+ checkEX(Y)) (6-26) 
有 了 这 些 准 备 ， 我 们 可 以 相当 容易 地 编码 SS, 
fro yZ, fr. [] checkEx(checkEu(/*,Z - f") - fair) (6-27) 


EIA Ta SE — MAA RAAB) RA (checkEU), SEHR LYRE, 
因为 对 checkEU 的 调用 作为 自由 变量 包含 了 外 部 最 大 不 动 点 的 递归 变量 2， 于 是 这 些 递 归 
嵌 套 并 互相 依赖 。 递 归 “ 轮 流 地 ”进行 。 注 意 这 个 编码 是 如 何 操 作 的 ,为 得 到 一 条 使 全 局 
成 立 的 从 x 出 发 的 公平 路 径 ， 需 要 p 在 * 处 成 立 ， 而 且 对 所 有 公平 性 约束 小 ， 还 必须 有 下 一 
状态 **， 在 此 处 全 部 性 质 仍然 为 真 (自由 的 Z 所 强制 的 ) ， 且 在 该 路 径 上 ， 每 个 公平 性 约束 . 
最 终 实 现 。 关 于 Z 的 递归 持续 地 和 迭代 这 个 推理 ， 因 此 ， 若 这 个 函数 计算 出 1， 则 存在 一 条 路 
径 ， 在 其 上 全 局 成 立 ， 且 每 个 yy, 无 限 多 次 为 真 。 
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6.5 习题 


练习 6. 1 


1 写 出 例 6.2 中 布尔 公式 的 真 值 表 。 在 表 中 可 以 随意 使 用 0 M1, 或 者 FF 与 T。 例 6.2 的 
(4) 的 布尔 公式 计算 出 什么 样 的 真 值 表 ? 

2. 四 是 异 或 函数 : Hx 和 y 的 值 不 同 ， 则 *@y $1; 否则 *@y 举 0。 用 命题 逻辑 表达 这 个 函 
数 ， 即 找 出 公式 $9， 与 全 有 相同 的 真 值 表 。 | 

3 H e, +, ,0 和 1 写 出 布尔 公式 f(x, y), HSS pq 有 相同 的 真 值 表 。 

4. 为 定义 6. 1 中 基于 运算 的 布尔 公式 的 语法 写 出 BNF, 


练习 6.2 


“1. 假定 交换 图 6-2 的 二 叉 判 定 树 中 所 有 实 线 和 虚线 。 写 出 结果 二 叉 判 定 树 的 真 值 表 ， 并 为 
其 找到 公式 。 
2. 考虑 下 列 真 值 表 : 





A 


本 I als 
a 
| 
Sat | 


画 出 表示 由 此 真 值 表 所 指定 的 布尔 函数 的 二 又 判定 树 。 
3. 考虑 图 6-2， 现 在 根 是 一 个 y 结 点 ， 其 两 个 后 继 是 * 结 点 。 为 这 个 图 指定 的 布尔 函数 构造 
二 叉 判 定 树 。 
4. 考虑 由 下 列 真 值 表 所 给 出 的 布尔 函数 








x y z | f(x,y, z) 
1 1 1 0 
1 1 0 1 
1 0 1 0 
1 0 0 1 
0 1 1 0 
0 1 0 0 
0 0 1 0 
0 0 0 1 


(JAS, y, 2) 构造 一 棵 二 叉 判 定 树 ， 使 根 是 一 个 * 结 点 ， 随后 是 y 结 点 ， 再 后 是 = 
结 点 。 

(b) 为 所 *，7y，z) 构 造 另 一 棵 二 又 判定 树 ， 现 在 根 是 一 个 z 结 点 ， 随后 是 y 结 点 ， 再 后 是 
z 结 点 。 
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5. 设 T 是 个 布尔 变量 的 布尔 函数 用 x,，x,。，…，*,) 的 一 棵 二 叉 判 定 树 。 假 定向 下 遍历 树 
7 的 任何 路 径 时 ， 每 个 变量 恰好 出 现 一 次 。 用 数学 归纳 法 证 明了 有 2” -1 个 结 点 。 


练习 6. 3 


“1. 解释 为 什么 对 BDD B 的 所 有 化 简 Cl ~ C3 所 产生 的 结果 BDD 仍然 表示 与 B 相同 的 函数 。 
2. 考虑 图 6-7 中 的 BDD。 
(a) 确定 由 这 个 BDD 所 表示 的 布尔 函数 /(x，y，z) 的 真 值 表 。 

(b) 为 该 函数 找 一 个 BDD ， 使 得 沿 任何 路 径 变 量 都 不 多 次 出 现 。 
3. 设 / 是 由 图 6-3b 的 BDD 所 表示 的 函数 。 再 用 图 6-6 说 明 的 BDD B,, B, 和 B,， 找 出 下 列 

函数 的 BDD 表示 : 

(a)f*x 

(b)x+f 

(c)f+0 

(d)f-1 


练习 6.4 


1. 图 6-9 显示 了 一 个 序 为 [x,，y，,， zj] 的 BDD, 
“(a) 找 出 序 为 [z:，y,，x] 的 等 价 简 约 BDD。( 提 示 : 先 找 序 为 [z，y，x] 的 判定 树 ， 然 后 用 
Cl ~ C3 化 简 。) 
(b) 对 变量 序 [fy，z，zx] 进 行 相同 的 构造 过 程 。 得 到 的 简约 BDD 与 序 为 [xs，y，z] 和 
[z，y，x] 时 的 简约 BDD 有 更 多 结 点 还 是 更 少 结 点 ? 
2. 考虑 图 6-4 ~ 图 6-10 中 的 BDD。 确 定 其 中 哪些 是 OBDD。 如 果 找 到 一 个 OBDD， 需 要 指定 
一 个 能 够 证 明 有 序 的 无 重复 出 现 变量 的 布尔 变量 表 。 
3. 考虑 下 列 布尔 公式 。 关 于 序 [x，y，z] 计 算 它 们 唯一 的 简约 OBDD。 建 议 先 计算 二 叉 判 定 
树 ， 然 后 实施 宛 余 消除 。 
(a)f(x, 7)Exr.y 
“(b)fla, y)SEr+y 
(co)fl(x, y) = x@y 
“(d) fla, y, 2)S(e@y) + (x +2) 
4. 回顾 第 1 SSH RA poy HAL: MAAR, 6 为 真 当 且 仅 当 光 为 真 。 
(a) 使 用 基本 运算 ，+ ， 田 ， 和 -为 布尔 公式 定义 这 个 算 子 。 
(b) 使 用 序 [y，*] 画 出 公式 g(x, y) E roy 的 简约 OBDD, 
5. 考虑 上 一 节 末 尾 引 进 的 偶 性 函数 。 
(a) 定 义 奇 性 函数 f(x ，x,，…，%,) 。 
(b) 对 n=5 和 序 [x,，x;，%，xs，zx2]， 画 出 奇 性 函数 的 OBDD。 若 改变 序 ， 这 个 OBDD 
的 总 体 结构 会 变 吗 ? 
(c) 证 明 f(z， Xoo os x.) 和 faa (Xi, Xa, t, x, ) 表示 相同 的 布尔 函数 。 
6. 利用 定理 6.7 证 明 : 若 应 用 化 简 规 则 Cl ~ C3 直到 不 能 化 简 为 止 ， 结 果 与 使 用 的 序 无 关 。 
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练习 6.5 
1. 给 定 布尔 公式 f(x ，x2，%3) 尘 x，" (x, +%;)。 关 于 下 列 序 计算 其 简约 OBDD; 


(a)[x,, x,, x] 
(b)[ x3, %, x] 
(c) [xs, %, x] 
2. RAL fla, y, z) =x (247) +7 5 的 简约 OBDD。 在 这 个 简约 OBDD 中 有 z 结 
点 吗 ? 
3. 考虑 布尔 公式 f(x，y， z)S(a +ytzZ)+ (ety +z): (x+y), MPWERR, 计算 f 关 
于 该 序 的 (唯一 ) 简 约 OBDD Br。 最 好 先 写 出 关于 该 序 的 二 叉 判 定 树 ， 然 后 应 用 所 有 可 能 
的 化 简 。 
(a)[x, y, z] 
(b)[y, x, z] 
(e)[z, x, y] 
(d) 找 出 一 种 变量 序 使 结果 简约 OBDD B, 有 最 少 的 边 。 即 没有 其 他 序 使 对 应 的 B, 有 更 少 
Ko (x, y, 有 多 少 种 可 能 的 序 ?) 
4. 给 定 下 列 真 值 表 








x y z I(x, Ys z) 
1 1 1 [es 
1 1 0 1 
1 0 1 1 
1 0 o0 0 
0 1 1 0 
0 1 0 1 
0 o 1 0 
0 0 0 1 

关于 以 下 变量 序 计 算 简 约 OBDD : 

(b)[z, y, x] 

(c)[y, z, x] 

(d)[x, z, y] 


5. 给 定 序 [p，g, r] ,计算 p^ 人 (gvr) 和 (p 和 ^g)v(p 人 ^7) 的 简约 OBDD, 并 解释 为 什么 它们 
是 恒 同 的 。 , 
"6. 考虑 图 6-11 中 的 BDD, 
(a) 构 造 其 真 值 表 。 
(b) 计 算 其 合 取 范式 。 
(c) 比 较 该 范式 的 长 度 与 BDD 的 大 小 。 你 的 评价 是 什么 ? 


练习 6.6 


1. 对 下 列 OBDD 执行 reduce: 
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(a) 关 于 下 列 的 二 叉 判定 树 
i. x<@Dy 
ix y 
iii. x +y 
iv. xey 
(b) K| 6-2 中 的 OBDD, 
“(c) A 6-4 中 的 OBDD, 


练习 6.7 


1. 回顾 香农 展开 式 (6-1) 。 假 定 x 在 六 中 根本 不 出 现 ， 为 什么 式 (6-1) 仍 然 成 立 ? 
2. fx, y, Sythe x+z" 了 +y*% 是 一 个 布尔 公式 。 关 于 以 下 变量 ,计算 /的 香农 
展开 : 
(a)x 
(b)y 
(e)z : 
3. 证 明 布 尔 公式 上 和 8 是 语义 等 价 的 ， 当 和 且 仅 当 对 其 变量 所 有 可 能 的 0 或 1 赋值， 布尔 公式 


(F +g) "(f+8) 都 计算 出 1。 

4. 我 们 可 以 使 用 香农 展开 形式 地 定义 BDD 如 何 确定 布尔 函数 。 设 B 是 一 个 BDD。 直 觉 上 显 
RB 确定 唯一 的 布尔 函数 。 形 式 地 ， 对 B 的 所 有 结 点 n，( 自 底 向 上 ) 归 纳 地 计算 函数 /: 
一 车 n 是 标记 为 0 的 终止 结 点 ， 则 是 常 值 0 函数 。 

一 对 偶 地 ， 若 n 是 终止 1 结 点 ， 则 BR RK. 

一 若 n 是 标记 为 x 的 非 终止 结 点 ， WEA MT ARR BR focn A frica ’ Sf 为 x * fioa) + 
x t frim o 

车 i 是 8 的 初始 结 点 ， 则 是 B 所 表示 的 布尔 函数 。 注 意 可 以 将 该 定义 用 作 B 的 一 种 符 

号 计算 ,结果 产生 一 个 布尔 公式 。 例 如 ， 图 6-3b 的 BDD 产生 出 公式 - (了 .1+y:0)+ 

x“0。 对 下 列 BDD， 计 算 由 这 种 方法 得 到 的 布尔 公式 : 

(a) 图 6-5b 中 的 BDD 

(b) 图 6-6 中 的 BDD 

(c) 图 6-11 中 的 BDD 

“5. 考虑 一 个 三 元 ( = 有 三 个 参量 ) 布 尔 联 结 词 /->(g，h)， 当 /为 真 时 它 等 价 于 g; BUSH 
于 ho 
(a) 使 用 + ，* ，@ 或 -中 的 任何 一 个 定义 这 个 联结 词 。 

(b) 回 忆 练 习 6.7 的 4。 使 用 上 述 三 元 算 子 将 了 BH fioc ? 和 其 标记 x 的 表达 式 。 
(ce) 用 数学 归纳 法 (对 什么 使 用 ?) 证 明 ， 若 太 的 根 是 一 个 zx 结 点 ， 则 上 不 依赖 于 在 假定 的 
序 中 位 于 x 之 前 的 任何 y。 

6. 解释 为 什么 apply(op，Bj，B,) 产 生 一 个 与 B AB, 有 相 容 序 的 OBDD， 其 中 B, A B, 有 
相 容 的 序 。 

7. 解释 为 什么 apply 的 四 种 控制 结构 穷尽 了 所 有 情形 ， 即 在 其 执行 中 再 没有 其 他 可 能 的 情 
形 了 。 
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8. 考虑 图 6-30 中 简约 的 OBDD Bj 和 B。。 为 了 计算 fop g 的 简约 OBDD， 需 要 : 





图 6-30 简约 的 OBDD B, 和 B,( 见 练习 ) 


一 如 图 6-16 所 示 ， 构 造 能 显示 apply(op, B,, B,) 递归 下 降 结构 的 树 ; 
一 使 用 该 树 模拟 apply(op, B,, B,); 
一 如 果 需 要 ， 化 简 所 得 到 的 OBDD。 
关于 以 下 运算 “op”， 对 图 6-30 的 OBDD 实施 这 些 步骤 ， 
(a) + 
(b)® 
(c) ， 
. & B, 2A 6-11 所 示 的 OBDD。 计 算 apply( 四 ,8 ，B,) ， 化 简 结 果 OBDD。 如 果 每 一 步 
者 正确， 得 到 的 OBDD 将 与 图 6-11 中 0 结 点 与 1 结 点 互 换 得 到 的 OBDD 同 构 。 
“10. 考虑 图 6-31 中 的 OBDD B,， 它 表示 在 比较 图 6-30 中 表示 的 布尔 函数 /和 gg 时 的 “不 关 


心 " 条 件 。 这 意味 着 对 除了 使 。 为 真 以 外 的 所 有 变量 值 比较 了 和 & 是 否 相 等 ( 即 我 们 “不 
关心 "ce 何 时 为 真 ) 。 


oO 





Æ 6-31 表示 图 6-30 中 OBDD 等 价 检验 的 “不 关心 ”条 件 的 简约 OBDD B, 


(a) 证 明 布尔 公式 (f De) +c 是 有 效 的 (总 计算 出 1) ， 当 上 且 仅 当 对 于 使 。 计算 为 0 的 所 
Afi, fMe 等 价 。 


(b) 按 练习 6.7 的 8 中 的 三 个 步 又， 由 f, g 和 < 的 OBDD 计算 (f@g) +c 的 简约 OBDD。 
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11. 








对 apply 的 哪个 调用 必须 先进 行 ? 
RIR v e10, 1 是 运算 op 的 一 个 ( 左 ) 控 制 值 ， 如 果 对 x 的 所 有 值 ，v op x =1， 或 者 
v op x =0。 如 果 v 既是 左 控制 值 又 是 右 控制 值 ， 我 们 说 2 是 一 个 控制 值 。 
(a) 定 义 右 控制 值 的 概念 。 
(b) 给 出 具有 控制 值 的 运算 的 例子 。 
(c) 非 形式 地 描述 一 下 ， 当 op 带 有 控制 值 时 ， 如 何 能 够 优化 apply. 
(d) 若 op 只 有 左 控制 值 或 右 控 制 值 ， 还 能 做 优化 吗 ? 


. 我 们 证 明了 apply 的 最 坏 时 间 复 杂 度 是 0(|18,| . 18.|)。 证 明 这 个 上 界 是 坚固 的 


(hard) ， 即 它 不 能 被 改进 : 
(a) 考 虚 积 和 形式 表达 的 函数 (x4 ,xy Aans) Er Apm + + * 和 
B20 计算 f+g 的 积 和 形式 。 
(b) 选择 序 [x ，x，,，…，%,42m] ， 证 明 OBDD B, 和 B, SUA ZUM RH. 
(e) 使 用 (a) 部 分 的 结果 得 到 结论 : Bj, 有 2""*! 条 边 , 即 0.5 .|B,| |B, |。 


练习 6.8 


l. 


设 f 是 图 6-5b 中 的 简约 0BDD ， 计 算 下 列 限制 的 简约 OBDD: 
(a)f[0/x ] 


“(b)f[1/x] 


(ce)fL1/Y] 


“(d)f[L0/z] 


An 


“2. 假定 我 们 有 意 修改 算法 restrict， 使 其 能 对 一 般 合成 f[g/x] 计 算 简约 OBDD。 


(a) 推 广 方程 (6-1)， 以 反映 运算 [g/x] 的 直观 意义 。 
(b) 直 接 计算 这 个 合成 ，0BDD 的 哪些 事实 会 产生 问题 ? 
(c) 在 至 今 为 止 讨论 过 的 算法 都 已 知 的 条 件 下 ， 如 何 计算 这 个 合 


. 我 们 定义 read-1-BDD 是 BDD B, Æ B 的 任何 计算 路 径 上 每 个 布尔 变量 至 多 出 现 一 次 。 特 


别 地 ，read-1-BDD 的 布尔 变量 不 一 定 有 序 。 显 然 ， 每 个 OBDD 都 是 read-1-BDD; 但 每 个 
read-1-BDD 不 一 定 都 是 OBDD( 参 看 图 6-10)。 在 图 6-18 中 ， 我 们 看 到 一 个 BDD， 它 不 是 
read-1-BDD, K¥F(x, y, z)=>(1, 0, 1) 的 路 径 “ 读 ”x 的 值 两 次 。 

用 批判 的 眼光 评估 布尔 公式 的 OBDD 实现 ， 看 哪些 实现 也 可 以 用 于 read-1-BDD。 哪 些 实 
现 方 面 会 产生 问题 ? 


(本 题 适合 上 过 有 限 自动 机 课程 的 读者 ) 所 有 个 变量 的 布尔 函数 可 以 视 为 {0，1}" 的 一 


个 子 集 L， 定 义 为 所 有 使 /计算 为 1 的 所 有 位 向 量 (v,，v,，…，w,) 的 集合 。 由 于 这 是 一 
个 有 限 集 ，L 是 正则 语言 ， 因而 存在 具有 最 小 状态 数 的 确定 性 有 限 自动 机 接受 Leo UBB 
将 OBDD 的 一 些 运算 与 有 限 自 动机 的 熟知 运算 匹配 起 来 吗 ?9 这 种 对 应 的 密切 程度 如 何 ? 
(你 可 能 要 考虑 非 简约 的 OBDD ) 





. (a) EBA r ERER ARH FAN FARM RAR: 


fr=Olal flf +h 
Cb) WEAR A R R CA LH ae eR Oe OBDD? 


. 对 n 用 数学 归纳 法 ,证 明 恰好 有 2" 个 不 同 的 n 元 布尔 函数 。 





二 又 判定 力 269 





练习 6. 9 


1. 使 用 exists 算法 计算 下 列 公 式 的 OBDD: 
(a) 3x, f, 图 6-11 给 出 了 j 的 OBDD。 
(b) Vy.g， 图 6-9 给 出 了 g 的 OBDD。 
(e) Jax, Jx, x, * yi +x, * Y, +45 * yao 
2. 设 了 /是 依赖 于 =” 个 变量 的 布尔 函数 。 
(a) WEAR : 
i 公式 9x.f 依 束 于 f 所 依赖 的 除 x 外 的 所 有 变量 。 
i 若 关 于 赋值 p, /计算 为 1， 则 关于 同一 个 赋值 ，3 x.f 也 计算 为 1。 
ii 若 关 于 赋值 p，3x*. 7 计算 为 1， 则 存在 关于 /的 赋值 p'， 使 得 对 除 x 外 的 所 有 变 
量 ，p 与 p 相同 ,， 且 在 p' 下 ff 计算 为 1。 
(b) 对 函数 值 0 可 以 证 明 上 述 陈 述 吗 ? 
3. 设 由 是 一 个 布尔 公式 。 
“(a) 证 明 由 是 可 满足 的 ， 当 且 仅 当 3 了 x. 中 是 可 满足 的 。 
(b) TE 中 是 有 效 的 ， 当 且 仅 当 Yx. 中 是 有 效 的 。 
(c) 将 上 述 两 个 事实 推广 到 骨 套 量词 3x* 和 Vx 的 情形 。( 对 受 量词 约束 的 变量 个 数 用 数学 
归纳 法 。) 


4. HEV f 542. 了 是 语义 等 价 的 。 对 向 量 4 中 参量 的 个 数 用 归纳 法 。 
练习 6. 10 


(适合 于 了 解 复杂 度 类 的 读者 ) 
1. 证 明 3SAT 问题 可 以 归结 为 能 套 存 在 布尔 量词 。 给 定 3SAT 的 一 个 实例 ， 可 以 将 其 想象 为 
一 个 和 积 形式 g,* 82 ……g 的 布尔 公式 f/， 其 中 每 个 g EW +141), MEAL 是 布 
尔 变量 或 布尔 变量 的 补 。 例 如 ,，f 可 以 是 (x + 了 +2) + (xs++) + (4, +244") + (at 
Xa 十 多 4 ) 。 
(a) 证 明 你 可 以 用 不 超过 3 个 非 终止 结 点 的 OBDD 表示 每 个 函数 g,， 且 不 依赖 序 的 选择 。 
(b) 引进 个 新 的 布尔 变量 2, 2,52, RERS tht +B DAB he 


fh [LF BAS h, EXX 
‘ (é; "z Il z,) (6-28) 


AAA a, 2, +, z,, PRE. MA h AY OBDD( 只 画 #, 的 根 结 点 ) 。 
(c) WEH ER OBDD 至 多 有 4n 个 非 终 止 结 点 。 
(DERS 是 可 满足 的 ， 当 且 仅 当 3z. 3z.…: Iz. h 的 OBDD ASF B, o 
(e) 解 释 为 什么 (d) 能 说 明 3SAT 可 归结 为 骸 套 存在 量词 。 

2. 证 明 : 为 表示 布尔 函数 的 OBDD 找 最 优 序 的 问题 在 coNP 中 。 

3. 回顾 3x.f 定 义 为 1[1/x] +f[0/x]。 由 于 关于 限制 和 + 我 们 有 有 效 算法 ， 因 此 得 到 Jz. 
3z.f 的 有 效 算法 。 于 是 ,P 等 于 NP! 这 个 论证 有 什么 错误 ? 
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#5) 6.11 


“1. 考虑 图 6-32a 中 的 CTL 模型 。 使 用 序 [x, ，x, ] ， 画 出 子 集 ls，s Mls, s} 的 OBDD。 
2. 考虑 图 6-32b 中 的 CTL 模型 。 因 为 状态 数 不 是 2 的 宪 ， 表 示 任 意 给 定 状 态 集 的 OBDD 不 
止 一 个 。 仍 使 用 序 [x, ，x, ] ， 画 出 子 集 {s。，si | 和 |s。，s,| 的 所 有 可 能 OBDD。 


” KA 


(s 


a) 有 四 个 状态 的 CTL 模 型 b) 有 三 个 状态 的 CTL 模 型 
图 6-32 





练习 6.12 


1. 考虑 图 6-32a 中 的 CTL 模型 。 
(a) 为 其 迁移 关系 写 出 真 值 表 ， 列 的 次 序 为 [x ，x!，x,，x!]。 最 后 一 列 中 1 的 个 数 应 该 
与 迁移 关系 中 箭头 的 个 数 一 样 多 。 此 时 ， 表 示 没 有 自由 ， 因 为 状态 个 数 丛 好 是 2 
BFE 
(b) Hi HX PEBRAN OBDD, WREEF s, xf, x, x]. 
2. 运用 3. 6.1 节 的 算法 ， 对 序 为 [x, ，x, ] 的 OBDD 进行 解释 ， 计 算 图 6-32b 中 CTL 模型 满足 
下 列 公 式 的 状态 集 : 
(a)AG(x, V7 x,) 
(b)E[x, U x,] 
显示 按 这 种 方式 计算 的 OBDD。 
3. MMAHA exists(x’, apply( +, B., By)) BREZA pre, (X) 的 含义 。 


练习 6.13 


1. (a) 模 拟 图 6-29 中 的 电路 随 初始 状态 01 的 演变 。 你 认为 它 计 算 的 是 什么 ? 
(b) 为 这 个 电路 写 出 明确 的 CTL (S, —, L)o 
2. 考 虚 图 6-33 中 的 顺序 同步 电路 。 





图 6-33 一 个 模 8 计数 器 的 同步 电路 
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(a)Xfi=1, 2, 3, 构造 函数 f。 
(b) $a 3 ph Be f~ o 
(c) 回 顾 第 2 章 , Axtey PREK, Wax 6) > pBLGHT Ax (dy). 
i 为 什么 在 布尔 公式 的 框架 下 这 也 是 真 的 ? 
i 使 用 这 个 定律 将 把 中 的 量词 3 尽 可 能 向 内 推 。 在 检测 同步 电路 时 ， 这 经 常 是 一 
个 有 用 的 优化 方法 。 
3. 考虑 2 位 比较 器 的 布尔 公式 : 
f(x1 ,x2 591 Yo) Ex ey) * (%97) 
(Q RFF, 1, t, %2], MH ER OBDD。 
(b) 关 于 序 [x m,n, nl, MEEK OBDD, HERS E—-THTER., 
4. (a) RAE FA SK (6-6) 编码 图 6-24 中 的 迁移 关系 一 吗 ? 
(b) 你 能 用 方程 (6-9) 做 到 这 一 点 吗 ? 
(c) 用 方程 (6-8) 如 何 呢 ? 


练习 6. 14 


1. 设 p 是 使 (x,，y,z) 寺 (0，1，1) 的 赋值 。 对 下 列 布尔 公式 ,计算 pf 是 否 成 立 : 
(a)xz (y +z + (y@z)) 
(b) da (y+ (atzt+y) ta- y) 
(co) Vx. Cy (x+z+7)+x* y) 
(d) dz (a> z+ Va. ((y + (x44) + z))) 

*(e) Yx. (y +z) 

“2. 用 式 (6-14) 及 关系 演算 公式 的 满足 关系 的 定义 ,证 明 对 所 有 赋值 p，p F v2Z. Z。 此 时 ， 
/等 于 Z， 你 需要 对 m>0 用 数学 归纳 法 证 明 式 (6-14)。 . 

3. 判定 关系 见 演 算 的 F 和 上 的 实现 明显 不 能 表示 将 所 有 变量 ( 即 无 限 多 个 变量 ) 都 指派 语义 值 
0 或 1 的 赋值 。 于 是 ， 将 F 作 为 对 (p, 了/) 之 间 的 关系 是 有 意义 的 ， 其 中 p 只 对 了 的 所 有 自 
由 变量 赋 语 义 值 。 

(a) 假 设 vZ 和 AZ，3x，Vx 以 及 [xz: = 安 ] 都 是 类 似 于 谓词 逻辑 中 量词 的 绑 定 构造 。 形 
式 地 定义 关系 人 演算 公式 /的 自由 变量 的 集合 。( 提示: 你 应 该 通过 对 的 结构 归纳 来 
定义 。 还 有 ， 在 f[*:=#'] 中 ， 哪 些 变量 被 约束 ?) 

(b) 回 顾 2.2.4 节 讨论 过 的 $ 中 的 :关于 x 自由 的 概念 。 定 义 “g 关于 f 中 的 Z 是 自由 的 ” 
应 该 意味 着 什么 ， 并 且 找 出 一 个 例子 , 使 g 关于 f 中 的 Z 不 是 自由 的 。 

(ec) 非 形式 地 解释 为 什么 可 以 确定 p F /是 否 成 立 ， 只 要 p 将 上 中 的 所 有 自由 变量 都 赋 以 0 
或 1。 解释 为 什么 这 个 答案 与 p 在 /中 约束 变量 上 的 值 无关 。 为 什么 这 个 事实 与 实现 
框架 相关 ? 

4. Bp 是 使 (x，x', y, y)>(0, 1, 1, INRA. HFEA 确定 p F7 是 否 成 立 (我 
IEE fos 是 /es 的 缩写 ， 意 思 是 /计算 为 1 当 且 仅 当 g 计算 为 1) 

(a) dau. (x ty’ x)) 

(b) Wx. (x'Oo(y +y' + x)) 

(c) dx’. (x’o(y ty’ x)) 
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(d) Vx". (x'O(y +y’* x)) 
5. Bp 是 满足 p(x1) =1, p(x;) =0 的 一 个 赋值 。 对 下 列 公式 ， 确 定 P FJ 是 否 成 立 : 
(a), [£ =x] 
(b) (x, +%,)[«:=2'] 
(c) (z, + #,)[#:=%'] 
6. 计算 pF( dx. (x +%,) )[*: =x']， 并 解释 在 这 个 过 程 中 赋值 p 是 如 何 变化 的 。 特 别 地 ， 
[x:=X'] 用 x 代替 了 x;， 但 为 什么 这 不 会 影响 绑 定 量词 了 3x,? 
7. (a) 如 何 为 关系 p 演算 定义 语义 推导 的 概念 ? 
(b) 形 式 地 定义 何 时 关系 演算 的 两 个 公式 是 语义 等 价 的 。 


练习 6.15 


1. 使 用 图 6-24 的 模型 ， 确 定 PEL OY Baty, 其 中 p 是 : 

(a)(x,, %,)=(1, 0) 
(b)(a,, %)=(0, 1) 
(ce) (x1, %)=(0, 0). 

2. 设 5 是 1s。，s,] ， 可 能 的 迁移 为 so 一 se ss Ms >s, HL(s,) ={x,}, L(s,) =. it 
BK RR SO 。 

. 方程 (6-17)、 方 程 (6-19) MAB (6-20) BRT LO, PA, Baa /fc 的 一 个 类 
似 的 方程 。 

4. 通过 适当 地 修改 式 (6-18) ， 定 义 Fi 的 一 个 直接 编码 。 

5. 模拟 6. 4. 2 节 中 对 联结 词 AU 的 示例 性 检验 : 考虑 图 6-24 的 模型 。 因 为 [[E[(z v x,) 
U (74, Am)]]] 等 于 整个 状态 集 5,, s, s}, XF SENA 7A e 的 编码 是 正确 的 ， 
车 对 所 有 异 于 (1，1) 的 位 向 量 它 计 算 为 1。 

(a) 验证 你 的 编码 确实 是 正确 的 。 
(b) 找 一 个 没有 不 动 点 的 布尔 公式 ， 它 语义 等 价 于 ft OAA] 

6. (a) 使 用 式 (6-20) ， 就 图 6-24 中 的 模型 计算 feo 。 

(b) HEBA f°° “忠实 地 建 模 满足 EC 一 x, 的 所 有 状态 集 。 

7. 6.4 PRA u RA WAKA (6-20) MRS, 在 公式 2Z.f 和 w2Z.f 中 ,2Z 在 f 中 的 任何 出 
现 必须 落 在 偶数 次 补 运算 - 中 。 若 去 掉 这 个 条 件 会 发 生 什么 ? 

(a) 考 虑 表达 式 12. Z。 我 们 已 经 看 到 ， 对 于 赋值 p 和 关系 演算 公式 的 所 有 选择 ,或 者 
PF 上 Ff 成 立 , 或 者 p 所 成 立 ， 在 这 个 意义 下 p 是 全 关系 。 但 像 x2. Z 这 样 的 公式 不 是 形 
式 单调 的 。 设 p 是 任意 赋值 。 用 数学 归纳 法 证 明 :; 

i SPA BA m>0, p jy Z.Z 
ii, 对 所 有 奇数 m 宇 1，p 上 12.Z。 
根据 式 (6-12) ， 由 这 两 个 结论 推导 p 下 jy2.Z 成 立 。 

(b) 考 虑 任何 环境 p。 对 m 用 数学 归纳 法 (也 许 还 要 对 p 进行 分 析 ) 证 明 ， 

车 对 某 个 m>0,p 上 Fj Z. (x, +a, Z), WIAA k>m, pE uZ. (x, +x,- Z), 

(c)—Mtih, ESAF Z 是 形式 单调 的 ， 则 p F uZ SAM pE u Zf 你 能 为 最 大 不 动 
RAF v 叙述 一 个 类 似 的 人 性 质 吗 ? 


Ww 
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. 给 定 图 6-29 中 电路 的 CTL 模型 。 

(a) ABRA SOA? 。 

(b) 编码 函数 SPO A 。 

“(e) 找 出 一 个 语义 等 价 于 .FA 的、 没有 不 动 点 的 布尔 公式 。 

考虑 图 6-33 中 的 顺序 同步 电路 。 计 算 pEf’, Hp SF: 

(a)(x,, x, %)>3(1, 0, 1) 

(b)(x,, Xz, x,)=>(0, 1, 0), 

10. 通过 对 $ 做 结构 归纳 ， 证 明 : 
定理 6.19 给 定 一 个 有 限 CTL 模型 的 编码 ， 设 由 是 一 个 适当 片段 的 CTL 公式 。 则 
[Collat ó Ti p Ef 的 赋值 p 的 集合 。 
PAHE p F 产 的 计算 只 依赖 于 p(x,) 的 值 ， 即 p 给 x: 或 2 赋 什 么 值 无 关 紧 要 。 

11. 证 明 上 面 的 定理 6. 19 对 任意 CTL 公式 仍然 有 效 ， 只 要 我 们 将 不 在 那个 适当 片段 中 的 公 
A 由 转化 为 该 片段 中 的 语义 等 价 公式 少 ， 并 定义 . 户 为 瑚 。 

12. 为 407 页 图 6-32b re BEAU EZR PO? ， 并 对 相应 于 状态 s 的 赋值 计算 该 公式 ， 
以 确定 s, F AF( > «,, x.) BBM, 

13. 对 Jr Y 2 Be Ph, 

14. ELBE 3 章 中 两 个 标记 算法 的 操作 方式 。 我 们 的 符号 编码 与 其 中 一 个 或 两 个 相似 ， 还 是 

都 不 相似 ? 


练习 6. 16 


© 


1. 考虑 方程 (6-22) MAE (6-27), MAA SLO EXT fair， 后 者 对 一 般 的 中 定义 了 jzecy 。 
为 什么 这 样 做 没有 问题 ， 即 不 是 循环 的 ? 

.给 定 一 个 固定 的 CTL 模型 At =(S, >, L), 我们 已 经 看 到 如 何 对 表示 满足 sk 由 的 状态 
se5S 集 合 的 公式 /* 进 行 编码 ，# 是 一 个 适当 片段 的 CTL 公式 。 

(a) 假 设 该 编码 不 考虑 简单 公平 性 约束 。 对 CTL 公式 o 进行 结构 归纳 证 明 : 
i 的 自由 变量 在 + 中， 此 处 后 者 是 编码 状态 se 5 的 布尔 变量 的 向 量 。 
ii.f* 的 所 有 不 动 点 子 公式 是 形式 单调 的 。 

(b) 车 /* 还 编码 了 简单 公平 性 约束 ， 证 明 这 两 个 断言 。 

. 考虑 3.6.1 节 的 函数 SAT 的 伪 代 码 。 现 在 要 修改 它 ， 使 输出 结果 不 是 一 个 集合 或 OBDD, 
而 是 关系 jw 演算 的 一 个 公式 。 于 是 ， 为 给 出 关系 演算 的 公式 ， 我 们 完成 图 6-22 中 的 表 。 
例如 ， 工 的 输出 是 1， 而 EUy 的 输出 是 式 (6-18) 给 出 的 对 SAT 的 递归 调用 。 你 是 否 需 要 
一 个 处 理 最 小 或 最 大 不 动 点 的 独立 函数 ? 

4. (a) 为 函数 SAT a 。, 写 伪 代 码 ， 该 函数 以 关系 演算 的 公式 了 作为 输入 ， 并 合成 一 个 表示 了 
的 OBDD B,。 假 定 / 的 不 动 点 子 表 达 式 的 递归 体 不 含 外 部 不 动 点 的 递归 变量 。 于 是 ， 
方程 (6-27) 是 不 允许 的 。 不 动 点 算 子 上 和 ww 需要 各 自 独立 的 子 函 数 ， 迁 代 分 别 由 式 
(6-12) 和 式 (6-14) 给 出 的 不 动 点 含义 。 你 的 一 些 结论 可 能 需要 进一步 浴 清 。 例 如 ， 你 
如 何 处 理 构 造 [2; =*']? 

(b) 解 释 一 下 ， 如 果 你 的 代码 的 输入 是 公式 (6-27) ， 会 有 什么 错误 ? 
5. 若是 一 个 有 nn 个 自由 布尔 变量 的 向 量 # 的 公式 ， 则 为 了 计算 2.f 的 迄 代 合 义 ， 可 能 需要 多 
至 2 次 递归 展开 ， 无 论 是 作为 OBDD 实现 ， 还 是 如 公式 (6-12) 那 样 实施 。 显 然 ， 这 是 不 能 
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接受 的 。 给 定 CTL 模型 At = (S， 一 , L) 和 初始 状态 集 7SS 的 符号 编码 ， 我 们 寻找 一 个 公 
式 ， 表 示 由 7 了 出 发 ， 且 在 人 4 的 某 个 有 限 计算 路 径 上 可 达 的 所 有 状态 。 使 用 式 (6-26) 中 的 
扩展 Unt 算 子 ， 我 们 可 以 将 其 表示 为 checkEU(f"，T)， 其 中 f/' 是 1 的 特征 函数 。 我 们 
可 以 用 称 为 “迭代 平方 "的 技术 “加 速 " 这 个 迭代 过 程 : 

BY. (fT + Jw. (YX := w] + ¥[¥¢:= w])) (6-29) 
注意 : 这 个 公式 依赖 于 与 SMA RE, BKC, x), ERED: 
车 对 公式 (6-29) 应 用 mm 次 式 (6-12)， 则 这 与 对 checkEU(f~, T) 
应 用 该 规则 2” 次 有 相同 的 语义 “效果 ”。 
TH, 我们 可 以 先 计算 由 任意 初始 状态 可 达 的 状态 集 ， 然 后 对 这 些 状态 限制 模型 检测 。 
注意 : 对 初始 状态 *， 这 种 归 约 不 会 改变 * F 由 的 语义 ， 因 此 这 是 一 种 合理 的 方法 。 它 有 
时 会 改进 符号 模型 检测 的 性 能 ， 但 其 他 时 候 则 使 之 更 差 。 


6.6 文献 注释 


有 序 二 叉 判 定 图 来 自 RE. Bryant [ Bry86 ]。 二 又 判 定 图 是 由 CY. Lee [ Lee59 ] 和 
S. B. Akers [ Ake78] 引 入 的 。 关 于 这 些 思想 的 一 个 很 好 的 综述 请 看 [ Bry92] OBDD 作为 整数 
乘法 模型 的 限制 ， 以 及 与 VLSI 设计 的 有 趣 联系 可 参看 [ Bry91] 。 关 于 计算 复杂 性 问题 及 其 与 
逻辑 的 密切 联系 的 一 般 介 绍 可 在 [ Pap94] 中 找到 。 模 态 人 演算 是 由 D. Kozen[ Koz83 ] 发 明 的 ; 
关于 这 种 逻辑 及 其 对 规范 和 验证 方面 的 应 用 的 更 多 详情 请 参看 [ Bra91 ] 。 

BDD 在 模型 检测 中 的 应 用 是 由 作者 团队 J. R. Burch, E. M. Clarke, K. L. McMillan, 
D. L. Dill 和 J. Hwang 所 提出 的 [BCM *90, CGL93 , McM93], 





Ake78. 
A091. 
Bac86. 
BCCZ99. 


BCM *90. 
BEKV94. 
BJ80. 


Boo54. 
Bra91. 


Bry86. 


Bry91. 


Bry92. 


CE81. 


CGL93. 


CGL94. 


CGP99. 
Che80. 
Dam96. 


Pij76. 
DP96. 


EJCO3. 


EN94. 
FHMV9S. 
Fit93. 


Fit96. 


参考 文献 


S. B. Akers. Binary decision diagrams. IEEE Transactions on Computers, C-27(6) : 509-516, 1978. 

K. R. Apt and E. -R. Olderog. Verification of Sequential and Concurrent Programs. Springer- Verlag, 1991. 
R. C. Backhouse. Program Construction and Verification. Prentice Hall, 1986. 

A. Biere, A. Cimatti, E. Clarke, and Y. Zhu. Symbolic model checking without BDDs. In Proceedings of 
Tools and Algorithms for theAnalysis and Construction of Systems (TACAS’99) , volume 1579 of Lecture Notes 
in Computer Science, pages 193-207, 1999. 

J. R. Burch, J. M. Clarke, K. L. McMillan, D. L. Dill, and J. Hwang. Symbolic model checking; 10” states 
and beyond. In IEEE Symposiumon Logic in Computer Science. IEEE Computer Society Press, 1990. 

K. Broda, S. Eisenbach, H. Khoshnevisan, and S. Vickers. ReasonedProgramming. Prentice Hall, 1994. 

G. Boolos and R. Jeffrey. Computability and Logic. Cambridge University Press, 2nd edition, 1980. 

G. Boole. An Investigation of the Laws of Thought. Dover, New York, 1854. 

J. C. Bradfield. Verifying Temporal Properties of Systems. Birkhiéuser, Boston, 1991. 

R. E. Bryant. Graph- based algorithms for boolean function manipulation. JEEE Transactions on Compilers , 
C-35(8) , 1986. 

R. E. Bryant. On the Complexity of VLSI Implementations and Graph Representations of Boolean Functions 
with Applications to Integer Multiplication. JEEE Transactions on Computers, 40 (2); 205-213, 
February 1991. 

R. E. Bryant. Symbolic Boolean Manipulation with Ordered Binary- decision Diagrams. ACM Computing 
Surveys, 24(3); 293-318, September 1992. 

E. M. Clarke and E. A. Emerson. Synthesis of synchronization skeletons for branching time temporal logic. In 
D. Kozen, editor, Logic of Programs Workshop, number 131 in LNCS. Springer Verlag, 1981. 

E. Clarke, O. Grumberg, and D. Long. Verification tools for finite-state concurrent systems. In A Decade of 
Concurrency, number 803 in Lecture Notes in Computer Science, pages 124-175. Springer Verlag, 1993. 
E. M. Clarke, O. Grumberg, and D.E. Long. Model checking and Abstraction. ACM Transactions on 
Programming Languages and Systems, 16(5); 1512-1542, September 1994. 

E. M. Clarke, O. Grumberg, and D. A. Peled. Model Checking. MIT Press, 1999. 

B. F. Chellas. Modal Logic - an Introduction. Cambridge University Press, 1980. 

D. R. Dams. Abstract Interpretation and Partition Refinement for Model Checking. PhD thesis, Institute for 
Programming Research and Algorithmics. Ein. dhoven University of Technology, July 1996. 

E. W. Dijkstra. A Discipline of Programming. Prentice Hall, 1976. 

R. Davies and F. Pfenning. A Modal Analysis of Staged Computation. In , 23rd Annual A CM Symposium on 
Principles of ProgrammingLanguages. ACM Press, January- 1996. 

S. Eisenbach, V. Jurisic, and C. Sadler. Modeling the evolution of NET programs. In IFIP International 
Conference on Formal Methodsfor Open Distributed Systems, LNCS. Springer Verlag, 2003. 

R. Elmasri and S. B. Navathe. Fundamentals of Database Systems. Benjamin/Cummings, 1994. 

R. Fagin, J. Y. Halpern, Y. Moses, and M. Y. Vardi. Reasoning aboutKnowledge. MIT Press, Cambridge, 1995. 
M. Fitting. Basic modal logic. In D. Gabbay, C. Hogger, andJ. Robinson, editors, Handbook of Logic in 
Artificial Intelligence andLogic Prngrarramming , volume 1 Oxford University Press, 1993. 

M. Fitting. First- Order Logic and Automated Theorem Proving. Springer, 2nd edition, 1996. 





276 


参考 文献 





FSra92 
Fre03 


Gen69 


Go187. 
Gri82. 


Ham78. 
Hoa69. 


Hod77. 
Hod83. 


Hol9U. 
JSSO1. 


Koz83. 


. N. Francez. Program Verification. Addison- Wesley, 1992. 

. G. Fege. Grundgesetze der Arithmetik , begriffsschriftlich abgeleitet. 1903. Volumes I and II (Jena). Gal87. 
J. H. Gallier. Logic for Computer Science. John Wiley, 1987. 

. G. Gentzen. Investigations into logical deduction. In M. E. Szabo, editor, The Collected PaPers of Gerhard 

Genizen, chapter 3, page 68-129. North-Holland Publishing Company, 1969. 

R. Goldblatt. Logics of Time and Computation. CSLI Lecture Notes, 1987. 

D. Gries. A note on a standard strategy for developing loop invariants and. loops. Science of Computer 

Programming, 2; 207-214, 1982. 

A. G. Hamilton. Logic for Mathematicians. Cambridge University Press, 1978. 

C. A. R. Hoare. An axiomatic basis for computer programming. Communications of the ACM, 12; 576- 

580, 1969. ` 

W. Hodges. Logic. Penguin Books, 1977. 

W. Hodges. Elementary predicate logic. In D. Gabbay and F. Guenthner, editors, Handbook of Philosophical 

Logic, volume |. Dordrecht; D. Reidel, 1983. 

G. Holzmann. Design and Validation of Corrmputer Protocols. Prentice Hall, 1990. 

D. Jackson, I. Shlyakhter, and M. Sridharan. A Micromodularity Mechanism. In Proceedings of the ACM 

SIGSOFT Conference on the Foundations of Software Engineering/ European Software Engineering Conference 
( FSE/ESEC01) , September 2001. 

D. Kozen. Results on the propositional mu-calculus. Theoretical Computer Science, 27; 333-354, 1983. 


C. Y. Lee. Representation of switching circuits by binary- decision programs. Bell System Technical Journal, 


Lee59. 


Lon83. 
McM93. 
MP91. 


MP95. 
MvdH95. 


Pap94. 
了 Pau91. 


Pnu81. 


Pra65. 
QS81. 


Ros97. 
SA91. 


Sch94. 


Sim94. 


38: 985-999, 1959. 

D. E. Long. Model Checking, Abstraction, and Compositional Verification. PhD thesis, School of Computer 
Science, Carnegie Mellon University, July 1983. Mar01. A. Martin. Adequate sets of temporal connectives in 
CTL. Electronic Notes in Theoretical Computer Science 52(1), 2001. 

K. L. McMillan. Symbolic Model Checking. Kluwer Academic Publishers, 1993. 

Z. Manna and A. Pnueli. The Temporal Logic of Reactive and Concurrent Systems; Specification. Springer- 
Verlag, 1991. 

Z. Manna and A. Pnueli. Temporal Verification of Reactive Systems; Safety. Springer-Verlag, 1995. 

J. -J. Ch. Meyer and W. van der Hoek. EPistemic Logic for AI and Compter Science, volume 41 of Cambridge 
Tracts in Theoretical Computer Science. Cambridge University Press, 1995. 

C. H. Papadimitriou. Computational Complexity. Addison Wesley, 1994. 

L. C. Paulson. ML for the Working Programmer. Cambridge University Press, 1991. 

A. Pnueli. A temporal logic of programs. Theoretical Computer Science, 13: 45- 60, 1981. Pop94. S. 
Popkorn. First Steps in Modal Logic. Cambridge University Press, 1994. 

D. Prawitz. Natural Deduction; A Proof- Theoretical Study. Almqvist & Wiksell, 1965. e 
J. P. Quielle and J. Sifakis. Specification and verification of concurrent systems in CESAR. In Proceedings of 
the Fifth International Symposium on Programming, 1981. 

A. W. Roscoe. The Theory and Practice of Concurrency. Prentice Hall, 1997. 

V. Sperschneider and G. Antoniou. Logic, A Foundation for Computer Science. Addison Wesley, 
1991. Sch92. U. Schoening. Logik fiir Informatiker. B. 1. Wissenschaftsverlag, 1992. 

D. A. Schmidt. The Structure of Typed Programming Languages. Foundations of Computing. The MIT 
Press, 1994. 

A. K. Simpson. The Proof Theory and Semantics of Intuitionistic Modal Logic. PhD thesis, The University of 
Edinburgh, Department of Computer Science, 1994. 





参考 文献 277 





SS90. G. Stalmarck and M. SAflund. Modeling and verifying systems and software in propositional logic. In 
B. K. Daniels, editor, Safety of Computer Control Systems ( SAFECOMP’90), pages 31- 36. Pergamon 


Press, 1990. 
Tay98. R. G. Taylor. Models of Computation, and Formal Languages. Oxford University Press, 1998. 


Ten91. R. D. Tennent. Semantics of Programming Languages. Prentice Hall, 1991. 

Tur91. R. Turner. Constructive Foundations for Functional Languages. McGraw Hill, 1991. 

vD89. D. van Dalen. Logic and Structure. Universitext. Springer- Verlag, 3rd edition, 1989. 

VW84. M. Y. Vardi and Pierre Wolper. Automata- theoretic techniques for modal logics of programs. In Proc. 16th 


ACM Symposium on Theory of Computing, pages 446-456, 1984. 
Wei98. M. A. Weiss. Data Structures and Problem Solving Using Java, Addison- Wesley, 1998. 


